Sa lá atá inniu beimid ag féachaint ar dhá thopaic thábhachtacha: DHCP Snooping agus VLAN Dúchasach “neamh-mhainneachtana”. Sula mbogann tú ar aghaidh chuig an gceacht, tugaim cuireadh duit cuairt a thabhairt ar ár gcainéal eile YouTube áit ar féidir leat féachaint ar fhíseán ar conas do chuimhne a fheabhsú. Molaim duit síntiús a íoc leis an gcainéal seo, agus muid ag postáil go leor leideanna úsáideacha le haghaidh féinfheabhsúcháin ann.
Tá an ceacht seo dírithe ar staidéar a dhéanamh ar fho-ailt 1.7b agus 1.7c den topaic ICND2. Sula gcuirfimid tús le DHCP Snooping, cuimhnímid ar roinnt pointí ó cheachtanna roimhe seo. Mura bhfuil dul amú orm, d’fhoghlaimíomar faoi DHCP i Lá 6 agus Lá 24. Pléadh saincheisteanna tábhachtacha ann maidir le sannadh seoltaí IP ag an bhfreastalaí DHCP agus malartú teachtaireachtaí comhfhreagracha.
Go hiondúil, nuair a logálann Úsáideoir Deiridh ar líonra, seolann sé iarratas craolta chuig an líonra a “éisteann” le gach feiste líonra. Má tá sé ceangailte go díreach le freastalaí DHCP, téann an t-iarratas go díreach chuig an bhfreastalaí. Má tá feistí tarchurtha ar an líonra - ródairí agus lasca - ansin téann an t-iarratas chuig an bhfreastalaí tríothu. Tar éis dó an t-iarratas a fháil, freagraíonn an freastalaí DHCP don úsáideoir, a sheolann iarratas chuige chun seoladh IP a fháil, agus ina dhiaidh sin eisíonn an freastalaí seoladh den sórt sin chuig gléas an úsáideora. Seo mar a tharlaíonn an próiseas chun seoladh IP a fháil faoi ghnáthchoinníollacha. De réir an sampla sa léaráid, gheobhaidh Úsáideoir Deiridh an seoladh 192.168.10.10 agus an seoladh geata 192.168.10.1. Tar éis seo, beidh an t-úsáideoir in ann rochtain a fháil ar an Idirlíon tríd an geata seo nó cumarsáid a dhéanamh le gléasanna líonra eile.
Glacaimid leis, i dteannta leis an bhfíorfhreastalaí DHCP, go bhfuil freastalaí DHCP calaoiseach ar an líonra, is é sin, go simplíonn an t-ionsaitheoir freastalaí DHCP ar a ríomhaire. Sa chás seo, cuireann an t-úsáideoir, tar éis dul isteach sa líonra, teachtaireacht chraolta freisin, a chuirfidh an ródaire agus an lasc ar aghaidh chuig an bhfíorfhreastalaí.
Mar sin féin, éisteann an freastalaí bradacha leis an líonra freisin, agus, tar éis dó an teachtaireacht chraolta a fháil, freagróidh sé don úsáideoir lena thairiscint féin in ionad an fhíorfhreastalaí DHCP. Tar éis é a fháil, tabharfaidh an t-úsáideoir a thoiliú, agus mar thoradh air sin gheobhaidh sé seoladh IP ón ionsaitheoir 192.168.10.2 agus seoladh geata 192.168.10.95.
Déantar an próiseas chun seoladh IP a fháil a ghiorrú mar DORA agus tá 4 chéim ann: Fionnachtain, Tairiscint, Iarratas agus Admháil. Mar a fheiceann tú, tabharfaidh an t-ionsaitheoir seoladh IP dlíthiúil don fheiste atá sa raon seoltaí líonra atá ar fáil, ach in ionad an fíor-seoladh geata 192.168.10.1, déanfaidh sé "sleamhnú" é le seoladh bréige 192.168.10.95, is é sin, seoladh a ríomhaire féin.
Ina dhiaidh sin, rachaidh gach trácht úsáideora deiridh a dhírítear chuig an Idirlíon trí ríomhaire an ionsaitheora. Déanfaidh an t-ionsaitheoir é a atreorú tuilleadh, agus ní bhraithfidh an t-úsáideoir aon difríocht leis an modh cumarsáide seo, toisc go mbeidh sé fós in ann rochtain a fháil ar an Idirlíon.
Ar an mbealach céanna, sruthóidh trácht fillte ón Idirlíon chuig an úsáideoir trí ríomhaire an ionsaitheora. Is é seo an rud ar a dtugtar go coitianta ionsaí Man in the Middle (MiM). Rachaidh gach trácht úsáideora trí ríomhaire an hacker, a bheidh in ann gach rud a sheolann nó a fhaigheann sé a léamh. Seo cineál amháin ionsaí is féidir a dhéanamh ar líonraí DHCP.
Tugtar Séanadh Seirbhíse (DoS) ar an dara cineál ionsaí, nó “séanadh seirbhíse.” Cad a tharlaíonn? Ní fheidhmíonn ríomhaire an hacker mar fhreastalaí DHCP a thuilleadh, níl ann anois ach gléas ionsaithe. Seolann sé iarratas Fionnachtana chuig an bhfíorfhreastalaí DHCP agus faigheann sé teachtaireacht Tairisceana mar fhreagra, ansin cuireann sé Iarratas chuig an bhfreastalaí agus faigheann sé seoladh IP uaidh. Déanann ríomhaire an ionsaitheora é seo gach cúpla milleasoicind, agus faigheann sé seoladh IP nua gach uair.
Ag brath ar na socruithe, tá na céadta nó na céadta seoltaí IP folamh ag freastalaí DHCP fíor. Gheobhaidh ríomhaire an hacker seoltaí IP .1, .2, .3, agus mar sin de go dtí go mbeidh an linn seoltaí ídithe go hiomlán. Tar éis seo, ní bheidh an freastalaí DHCP in ann seoltaí IP a sholáthar do chliaint nua ar an líonra. Má thagann úsáideoir nua isteach sa líonra, ní bheidh sé in ann seoladh IP saor in aisce a fháil. Is é seo an pointe ionsaí DoS ar fhreastalaí DHCP: chun é a chosc ó seoltaí IP a eisiúint d'úsáideoirí nua.
Chun cur i gcoinne ionsaithe den sórt sin, úsáidtear an coincheap DHCP Snooping. Feidhm ciseal XNUMX OSI í seo a fheidhmíonn mar ACL agus nach n-oibríonn ach ar lasca. Chun DHCP Snooping a thuiscint, ní mór duit dhá choincheap a mheas: calafoirt iontaofa lasc Iontaofa agus calafoirt neamhiontaofa neamhiontaofa le haghaidh feistí líonra eile.
Ligeann calafoirt iontaofa d'aon chineál teachtaireachta DHCP dul tríd. Is calafoirt iad calafoirt neamhiontaofa a bhfuil cliaint nasctha leo, agus déanann DHCP Snooping é ionas go gcaithfí amach aon teachtaireachtaí DHCP a thagann ó na calafoirt sin.
Má chuimhnímid ar an bpróiseas DORA, tagann teachtaireacht D ón gcliant chuig an bhfreastalaí, agus tagann teachtaireacht O ón bhfreastalaí chuig an gcliant. Ansin, seoltar teachtaireacht R ón gcliant chuig an bhfreastalaí, agus seolann an freastalaí teachtaireacht A chuig an gcliant.
Glactar le teachtaireachtaí D agus R ó phoirt neamhurraithe, agus cuirtear teachtaireachtaí ar nós O agus A i leataobh. Nuair a bhíonn feidhm DHCP Snooping cumasaithe, meastar go bhfuil gach calafort lasc neamhshlán de réir réamhshocraithe. Is féidir an fheidhm seo a úsáid don lasc ina iomláine agus do VLANanna aonair. Mar shampla, má tá VLAN10 ceangailte le calafort, ní féidir leat an ghné seo a chumasú ach le haghaidh VLAN10, agus ansin beidh a phort neamhiontaofa.
Nuair a chumasaíonn tú DHCP Snooping, beidh ort, mar riarthóir córais, dul isteach sna socruithe lasc agus na calafoirt a chumrú sa chaoi is nach measfar ach na calafoirt a bhfuil gléasanna cosúil leis an bhfreastalaí nasctha leo a bheith neamhiontaofa. Ciallaíonn sé seo aon chineál freastalaí, ní hamháin DHCP.
Mar shampla, má tá lasc eile, ródaire nó freastalaí DHCP fíor ceangailte le calafort, tá an port seo cumraithe mar a bhfuil muinín agat as. Ní mór na calafoirt lasc atá fágtha lena bhfuil gléasanna úsáideora deiridh nó pointí rochtana gan sreang nasctha a chumrú mar neamhdhaingean. Mar sin, nascann aon fheiste ar nós pointe rochtana a bhfuil úsáideoirí ceangailte leis an lasc trí chalafort neamhiontaofa.
Má sheolann ríomhaire an ionsaitheora teachtaireachtaí de chineál O agus A chuig an lasc, cuirfear bac orthu, is é sin, ní bheidh trácht den sórt sin in ann dul tríd an gcalafort neamhiontaofa. Seo mar a chuireann DHCP Snooping cosc ar na cineálacha ionsaithe a pléadh thuas.
Ina theannta sin, cruthaíonn DHCP Snooping táblaí ceangailteacha DHCP. Tar éis don chliant seoladh IP a fháil ón bhfreastalaí, cuirfear an seoladh seo, chomh maith le seoladh MAC an fheiste a fuair é, isteach sa tábla DHCP Snooping. Beidh baint ag an dá shaintréith seo leis an gcalafort neamhchinnte a bhfuil an cliant nasctha leis.
Cuidíonn sé seo, mar shampla, le ionsaí DoS a chosc. Má tá seoladh IP faighte cheana féin ag cliant a bhfuil seoladh MAC tugtha aige, cén fáth ar cheart seoladh IP nua a bheith ag teastáil uaidh? Sa chás seo, déanfar aon iarracht ar ghníomhaíocht den sórt sin a chosc díreach tar éis an iontráil sa tábla a sheiceáil.
Is é an chéad rud eile a chaithfidh muid a phlé ná VLAN Dúchasach Neamh-mhainneachtana, nó VLAN Dúchasach “neamh-mhainneachtana”. Táimid tar éis dul i dteagmháil arís agus arís eile le VLANanna, ag caitheamh 4 fhíscheacht ar na líonraí seo. Má tá dearmad déanta agat ar cad é seo, molaim duit athbhreithniú a dhéanamh ar na ceachtanna seo.
Tá a fhios againn gurb é VLAN1 an VLAN Dúchasach réamhshocraithe i lasca Cisco. Tá ionsaithe ar a dtugtar VLAN Hopping. Glacaimid leis go bhfuil an ríomhaire sa léaráid ceangailte leis an gcéad lasc ag an líonra dúchais réamhshocraithe VLAN1, agus tá an lasc deireanach ceangailte leis an ríomhaire ag líonra VLAN10. Bunaítear trunk idir na lasca.
De ghnáth, nuair a thagann trácht ón gcéad ríomhaire chuig an lasc, bíonn a fhios aige gur cuid de VLAN1 é an calafort a bhfuil an ríomhaire seo ceangailte leis. Ansin, téann an trácht seo chuig an stoc idir an dá lasc, agus is mar seo a cheapann an chéad lasc: “Tháinig an trácht seo ón VLAN Dúchasach, mar sin ní gá dom é a chlibeáil,” agus cuireann sé trácht gan chlib ar aghaidh feadh an truflais, a a shroicheann an dara lasc.
Is mar seo a cheapann Switch 2, tar éis dó trácht gan chlib a fháil: “toisc nach bhfuil an trácht seo clibáilte, ciallaíonn sé gur le VLAN1 é, mar sin ní féidir liom é a sheoladh thar VLAN10.” Mar thoradh air sin, ní féidir le trácht a sheolann an chéad ríomhaire an dara ríomhaire a shroicheadh.
I ndáiríre, seo mar ba cheart dó tarlú - níor cheart go rachadh trácht VLAN1 isteach i VLAN10. Anois, déanaimis a shamhlú go bhfuil ionsaitheoir taobh thiar den chéad ríomhaire a chruthaíonn fráma leis an gclib VLAN10 agus a sheolann chuig an lasc é. Má chuimhníonn tú ar an gcaoi a n-oibríonn VLAN, tá a fhios agat má shroicheann an trácht clibeáilte an lasc, ní dhéanfaidh sé aon rud leis an bhfráma, ach go ndéanann sé é a tharchur níos faide ar feadh an trunk. Mar thoradh air sin, gheobhaidh an dara lasc trácht le clib a chruthaigh an t-ionsaitheoir, agus ní leis an gcéad lasc.
Ciallaíonn sé seo go bhfuil rud eile seachas VLAN1 á chur in ionad an VLAN Dúchais.
Ós rud é nach bhfuil a fhios ag an dara lasc cé a chruthaigh an chlib VLAN10, seolann sé trácht chuig an dara ríomhaire. Seo mar a tharlaíonn ionsaí VLAN Hopping, nuair a théann ionsaitheoir isteach i líonra nach raibh inrochtana dó ar dtús.
Chun ionsaithe den sórt sin a chosc, ní mór duit VLAN Randamach, nó VLANanna randamacha a chruthú, mar shampla VLAN999, VLAN666, VLAN777, etc., nach féidir le hionsaitheoir a úsáid ar chor ar bith. Ag an am céanna, téann muid chuig calafoirt trunk na lasca agus déanaimid iad a chumrú chun oibriú, mar shampla, le VLAN666 Dúchasach. Sa chás seo, athraíonn muid an VLAN Dúchasach do chalafoirt trunk ó VLAN1 go VLAN66, is é sin, úsáidimid aon líonra seachas VLAN1 mar an VLAN Dúchasach.
Ní mór na calafoirt ar an dá thaobh den stoc a chumrú don VLAN céanna, nó gheobhaidh muid earráid neamhréire uimhreacha VLAN.
Tar éis an tsocraithe seo, má chinneann hacker ionsaí VLAN Hopping a dhéanamh, ní éireoidh leis, toisc nach bhfuil VLAN1 dúchais sannta d'aon cheann de na calafoirt trunk de na lasca. Is é seo an modh chun cosaint a dhéanamh ar ionsaithe trí VLANanna dúchasacha neamh-mhainneachtana a chruthú.
Go raibh maith agat as fanacht linn. An maith leat ár n-alt? Ag iarraidh ábhar níos suimiúla a fheiceáil? Tacaigh linn trí ordú a dhéanamh nó moladh a thabhairt do chairde, Lascaine 30% d’úsáideoirí Habr ar analóg uathúil de fhreastalaithe leibhéal iontrála, a cheap muid duit: (ar fáil le RAID1 agus RAID10, suas le 24 croíleacan agus suas le 40GB DDR4).
Dell R730xd 2 uair níos saoire? Ach anseo san Ísiltír! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ó $99! Léigh faoi
Foinse: will.com