اڄ اسان ٻن اهم عنوانن تي نظر وجهنداسين: DHCP سنوپنگ ۽ ”غير ڊفالٽ“ اصلي VLANs. سبق ڏانهن وڌڻ کان اڳ، مان توهان کي دعوت ڏيان ٿو اسان جي ٻئي يوٽيوب چينل تي وڃو جتي توهان هڪ وڊيو ڏسي سگهو ٿا ته ڪيئن پنهنجي ياداشت کي بهتر بڻائي. مان سفارش ڪريان ٿو ته توهان هن چينل کي سبسڪرائيب ڪريو، جيئن اسان اتي پاڻ کي بهتر بڻائڻ لاءِ ڪيترائي مفيد مشورا پوسٽ ڪندا آهيون.
هي سبق ICND1.7 موضوع جي ذيلي حصن 1.7b ۽ 2c جي مطالعي لاءِ وقف آهي. ان کان اڳ جو اسان DHCP سنوپنگ سان شروع ڪريون، اچو ته پوئين سبقن مان ڪجهه نقطا ياد ڪريون. جيڪڏهن مان غلط نه آهيان، اسان DHCP بابت ڏينهن 6 ۽ ڏينهن 24 ۾ سکيو. اتي، DHCP سرور پاران IP پتي جي تفويض ۽ لاڳاپيل پيغامن جي بدلي جي حوالي سان اهم مسئلن تي بحث ڪيو ويو.
عام طور تي، جڏهن هڪ آخري صارف نيٽ ورڪ تي لاگ ان ٿئي ٿو، اهو نيٽ ورڪ ڏانهن هڪ نشري درخواست موڪلي ٿو جيڪو سڀني نيٽ ورڪ ڊوائيسز پاران "ٻڌو" آهي. جيڪڏهن اهو سڌو سنئون هڪ DHCP سرور سان ڳنڍيل آهي، پوء درخواست سڌو سنئون سرور ڏانهن وڃي ٿي. جيڪڏهن نيٽ ورڪ تي ٽرانسميشن ڊوائيسز آهن - روٽر ۽ سوئچز - پوء سرور ڏانهن درخواست انهن جي ذريعي وڃي ٿي. درخواست حاصل ڪرڻ کان پوء، DHCP سرور صارف کي جواب ڏئي ٿو، جيڪو کيس هڪ IP پتو حاصل ڪرڻ لاء هڪ درخواست موڪلي ٿو، جنهن کان پوء سرور صارف جي ڊوائيس تي اهڙي ايڊريس کي جاري ڪري ٿو. اهو ڪيئن آهي IP پتو حاصل ڪرڻ جو عمل عام حالتن ۾ ٿئي ٿو. ڊراگرام ۾ مثال جي مطابق، آخري صارف پتو 192.168.10.10 ۽ گيٽ وي ايڊريس 192.168.10.1 وصول ڪندو. ان کان پوء، صارف هن گيٽ ذريعي انٽرنيٽ تائين رسائي يا ٻين نيٽ ورڪ ڊوائيسز سان رابطو ڪرڻ جي قابل هوندو.
اچو ته فرض ڪريون ته حقيقي DHCP سرور کان علاوه، نيٽ ورڪ تي هڪ فريب DHCP سرور آهي، اهو آهي، حملو ڪندڙ صرف پنهنجي ڪمپيوٽر تي هڪ DHCP سرور نصب ڪري ٿو. انهي حالت ۾، صارف، نيٽ ورڪ ۾ داخل ٿيڻ کان پوء، هڪ نشري پيغام پڻ موڪلي ٿو، جيڪو روٽر ۽ سوئچ کي حقيقي سرور ڏانهن اڳتي وڌايو ويندو.
بهرحال، بدمعاش سرور پڻ نيٽ ورڪ کي "ٻڌندو" آهي، ۽، نشري پيغام حاصل ڪرڻ کان پوء، صارف کي حقيقي DHCP سرور جي بدران پنهنجي پيشڪش سان جواب ڏيندو. ان کي حاصل ڪرڻ کان پوء، صارف پنهنجي رضامندي ڏيندو، جنهن جي نتيجي ۾ هو حملي ڪندڙ کان هڪ IP پتو وصول ڪندو 192.168.10.2 ۽ هڪ گيٽ وي ايڊريس 192.168.10.95.
IP پتي حاصل ڪرڻ جي عمل کي DORA طور مختصر ڪيو ويو آهي ۽ 4 مرحلن تي مشتمل آهي: دريافت، آڇ، درخواست ۽ اعتراف. جئين توهان ڏسي سگهو ٿا، حملو ڪندڙ ڊوائيس کي هڪ قانوني IP پتو ڏيندو جيڪو نيٽ ورڪ پتي جي دستياب رينج ۾ آهي، پر حقيقي گيٽ وي ايڊريس 192.168.10.1 جي بدران، هو ان کي جعلي ايڊريس 192.168.10.95 سان "سلپ" ڪندو، اھو آھي، پنھنجي ڪمپيوٽر جو پتو.
ان کان پوء، انٽرنيٽ ڏانهن هدايت ڪئي وئي سڀني صارفن جي ٽرئفڪ حملي ڪندڙ جي ڪمپيوٽر ذريعي گذري ويندي. حملو ڪندڙ ان کي اڳتي وڌائيندو، ۽ صارف رابطي جي هن طريقي سان ڪو به فرق محسوس نه ڪندو، ڇو ته هو اڃا تائين انٽرنيٽ تائين رسائي حاصل ڪري سگهندو.
ساڳيءَ طرح، انٽرنيٽ تان موٽڻ واري ٽريفڪ حملي آور جي ڪمپيوٽر ذريعي صارف تائين پهچندي. اهو ئي آهي جنهن کي عام طور تي سڏيو ويندو آهي انسان ۾ وچ ۾ (MiM) حملو. سمورو صارف ٽريفڪ هيڪر جي ڪمپيوٽر مان گذري ويندو، جيڪو هر شي کي پڙهي سگهندو جيڪو هو موڪلي ٿو يا وصول ڪري ٿو. هي هڪ قسم جو حملو آهي جيڪو ٿي سگهي ٿو DHCP نيٽ ورڪن تي.
ٻئي قسم جي حملي کي سڏيو ويندو آهي انڪار جي خدمت (DoS)، يا "خدمت کان انڪار." ڇا ٿيندو؟ هيڪر جو ڪمپيوٽر هاڻي DHCP سرور طور ڪم نٿو ڪري، اهو هاڻي صرف هڪ حملو ڪندڙ ڊيوائس آهي. اهو حقيقي DHCP سرور ڏانهن دريافت جي درخواست موڪلي ٿو ۽ جواب ۾ هڪ آڇ پيغام وصول ڪري ٿو، پوء سرور ڏانهن هڪ درخواست موڪلي ٿو ۽ ان مان هڪ IP پتو وصول ڪري ٿو. حملي آور جو ڪمپيوٽر اهو هر چند ملي سيڪنڊن ۾ ڪندو آهي، هر ڀيري هڪ نئون IP پتو وصول ڪندو آهي.
سيٽنگن تي مدار رکندي، هڪ حقيقي DHCP سرور وٽ سوين يا ڪيترائي سو خالي IP پتي جو تلاءُ آهي. هيڪر جي ڪمپيوٽر کي IP پتي .1، .2، .3 وغيره ملي ويندا جيستائين پتي جو تلاءُ مڪمل طور تي ختم نه ٿئي. ان کان پوء، DHCP سرور نيٽ ورڪ تي نوان گراهڪن کي IP پتي مهيا ڪرڻ جي قابل نه هوندا. جيڪڏهن هڪ نئون صارف نيٽ ورڪ ۾ داخل ٿئي ٿو، هو مفت IP پتو حاصل ڪرڻ جي قابل نه هوندو. اهو نقطو آهي هڪ DHCP سرور تي DoS حملي جو: ان کي روڪڻ لاءِ IP ايڊريس جاري ڪرڻ کان نون صارفين کي.
اهڙن حملن کي منهن ڏيڻ لاءِ، DHCP Snooping جو تصور استعمال ڪيو ويندو آهي. هي هڪ OSI پرت XNUMX فنڪشن آهي جيڪو ڪم ڪري ٿو ACL وانگر ۽ صرف سوئچ تي ڪم ڪري ٿو. DHCP Snooping کي سمجھڻ لاءِ، توھان کي ٻن تصورن تي غور ڪرڻ جي ضرورت آھي: قابل اعتماد سوئچ جا قابل اعتماد بندرگاھ ۽ ٻين نيٽ ورڪ ڊوائيسز لاءِ ناقابل اعتماد ناقابل اعتماد بندرگاھون.
قابل اعتماد بندرگاهن کي ڪنهن به قسم جي DHCP پيغام ذريعي منتقل ڪرڻ جي اجازت ڏئي ٿي. ناقابل اعتبار بندرگاهن اهي بندرگاهن آهن جيڪي ڪلائنٽ سان ڳنڍيل آهن، ۽ DHCP اسنوپنگ ان کي ٺاهيندي آهي ته جيئن انهن بندرگاهن مان ايندڙ DHCP پيغامن کي رد ڪيو ويندو.
جيڪڏهن اسان DORA جي عمل کي ياد ڪريون ٿا، پيغام D اچي ٿو ڪلائنٽ کان سرور ڏانهن، ۽ پيغام O سرور کان ڪلائنٽ ڏانهن اچي ٿو. اڳيون، هڪ پيغام R ڪلائنٽ کان سرور ڏانهن موڪليو ويو آهي، ۽ سرور هڪ پيغام موڪلي ٿو A ڪلائنٽ ڏانهن.
غير محفوظ بندرگاهن مان پيغام D ۽ R قبول ڪيا ويا آهن، ۽ پيغام جهڙوڪ O ۽ A رد ڪيا ويا آهن. جڏهن DHCP Snooping فنڪشن کي فعال ڪيو ويندو آهي، سڀ سوئچ بندرگاهن کي ڊفالٽ طور غير محفوظ سمجهيو ويندو آهي. هي فنڪشن ٻئي سوئچ لاءِ مڪمل طور تي ۽ انفرادي VLANs لاءِ استعمال ٿي سگهي ٿو. مثال طور، جيڪڏهن VLAN10 هڪ بندرگاهه سان ڳنڍيل آهي، ته توهان هن خصوصيت کي صرف VLAN10 لاءِ فعال ڪري سگهو ٿا، ۽ پوءِ ان جو بندرگاهه ناقابل اعتبار ٿي ويندو.
جڏهن توهان DHCP سنوپنگ کي فعال ڪندا آهيو، توهان کي، هڪ سسٽم ايڊمنسٽريٽر جي طور تي، توهان کي سوئچ سيٽنگن ۾ وڃڻو پوندو ۽ بندرگاهن کي اهڙي طرح ترتيب ڏيڻو پوندو ته صرف اهي بندرگاهون جن سان سرور سان ملندڙ ڊوائيس ڳنڍيل آهن ناقابل اعتبار سمجهيا وڃن. هن جو مطلب آهي ڪنهن به قسم جو سرور، نه صرف DHCP.
مثال طور، جيڪڏهن ڪو ٻيو سوئچ، روٽر يا حقيقي DHCP سرور بندرگاهه سان ڳنڍيل آهي، ته پوءِ هي بندرگاهه قابل اعتماد طور ترتيب ڏنل آهي. باقي سوئچ بندرگاهن جن سان آخري صارف ڊوائيسز يا وائرليس رسائي پوائنٽ ڳنڍيل آهن انهن کي لازمي طور تي غير محفوظ طور تي ترتيب ڏيڻ گهرجي. تنهن ڪري، ڪنهن به ڊوائيس جهڙوڪ هڪ رسائي پوائنٽ جنهن ۾ صارف ڳنڍيل آهن هڪ ناقابل اعتماد بندرگاهه ذريعي سوئچ سان ڳنڍيندو آهي.
جيڪڏهن حملو ڪندڙ جو ڪمپيوٽر سوئچ ڏانهن O ۽ A قسم جا پيغام موڪلي ٿو، انهن کي بلاڪ ڪيو ويندو، اهو آهي، اهڙي ٽريفڪ ناقابل اعتبار بندرگاهه مان گذري نه سگهندي. اهو ڪيئن آهي DHCP Snooping حملن جي قسمن کي روڪي ٿو مٿي ذڪر ڪيل.
اضافي طور تي، DHCP Snooping ٺاهي ٿو DHCP بائنڊنگ ٽيبل. ڪلائنٽ کان پوءِ سرور مان هڪ IP پتو ملي ٿو، هي پتو، انهي ڊوائيس جي MAC پتي سان گڏ، جيڪو ان کي ملي ٿو، داخل ڪيو ويندو DHCP سنوپنگ ٽيبل ۾. اهي ٻه خاصيتون غير محفوظ بندرگاهن سان لاڳاپيل هوندا جنهن سان ڪلائنٽ ڳنڍيل آهي.
هي مدد ڪري ٿو، مثال طور، هڪ DoS حملي کي روڪڻ لاء. جيڪڏهن ڏنل MAC پتي سان هڪ ڪلائنٽ اڳ ۾ ئي هڪ IP پتو ملي چڪو آهي، پوء ان کي نئين IP پتي جي ضرورت ڇو آهي؟ انهي صورت ۾، اهڙي سرگرمي جي ڪنهن به ڪوشش کي فوري طور تي ٽيبل ۾ داخل ٿيڻ جي جانچ ڪرڻ کان پوء روڪيو ويندو.
ايندڙ شيء جيڪا اسان کي بحث ڪرڻ جي ضرورت آهي Nondefault، يا "غير ڊفالٽ" اصلي VLANs. اسان بار بار VLANs جي موضوع تي رابطو ڪيو آهي، انهن نيٽ ورڪن تي 4 وڊيو سبق وقف ڪري رهيا آهيون. جيڪڏهن توهان وساري ڇڏيو آهي ته اهو ڇا آهي، مان توهان کي صلاح ڏيان ٿو ته انهن سبقن جو جائزو وٺو.
اسان ڄاڻون ٿا ته Cisco سوئچز ۾ ڊفالٽ اصلي VLAN VLAN1 آهي. اتي حملا آهن VLAN Hopping. اچو ته فرض ڪريون ته ڊراگرام ۾ ڪمپيوٽر پهرين سوئچ سان ڊفالٽ اصلي نيٽ ورڪ VLAN1 سان ڳنڍيل آهي، ۽ آخري سوئچ VLAN10 نيٽ ورڪ ذريعي ڪمپيوٽر سان ڳنڍيل آهي. سوئچ جي وچ ۾ ھڪڙو ٽڪرو قائم ڪيو ويو آھي.
عام طور تي، جڏهن پهرين ڪمپيوٽر مان ٽريفڪ سوئچ تي اچي ٿي، اهو ڄاڻي ٿو ته بندرگاهه جنهن سان هي ڪمپيوٽر ڳنڍيل آهي، VLAN1 جو حصو آهي. اڳتي هلي، هي ٽريفڪ ٻن سوئچن جي وچ ۾ ٽرڪن ڏانهن وڃي ٿي، ۽ پهريون سوئچ هن طرح سوچي ٿو: ”هي ٽريفڪ اصلي VLAN کان آئي آهي، تنهنڪري مون کي ان کي ٽيگ ڪرڻ جي ضرورت ناهي،“ ۽ اڻ ٽيگ ٿيل ٽريفڪ کي ٽرڪن سان گڏ اڳتي وڌائي ٿو، جيڪو ٻئي سوئچ تي اچي ٿو.
سوئچ 2، اڻ ٽيگ ٿيل ٽريفڪ حاصل ڪرڻ تي، هن طرح سوچيو: "جيئن ته هي ٽرئفڪ اڻ ٽيگ ٿيل آهي، ان جو مطلب اهو آهي ته اهو VLAN1 سان تعلق رکي ٿو، تنهنڪري مان ان کي VLAN10 تي نه ٿو موڪلي سگهان." نتيجي طور، پهرين ڪمپيوٽر پاران موڪليل ٽرئفڪ ٻئي ڪمپيوٽر تائين پهچي نه سگهندي.
حقيقت ۾، اهو ڪيئن ٿيڻ گهرجي - VLAN1 ٽرئفڪ VLAN10 ۾ نه اچڻ گهرجي. هاڻي اچو ته تصور ڪريو ته پهرين ڪمپيوٽر جي پويان هڪ حملو ڪندڙ آهي جيڪو VLAN10 ٽيگ سان هڪ فريم ٺاهي ٿو ۽ ان کي سوئچ ڏانهن موڪلي ٿو. جيڪڏهن توهان کي ياد آهي ته VLAN ڪيئن ڪم ڪري ٿو، ته توهان کي خبر آهي ته جيڪڏهن ٽيگ ٿيل ٽرئفڪ سوئچ تائين پهچي ٿي، ته اهو فريم سان ڪجهه به نه ڪندو آهي، پر صرف ان کي ٽرڪن سان اڳتي منتقل ڪري ٿو. نتيجي طور، ٻيو سوئچ ٽريفڪ حاصل ڪندو هڪ ٽيگ سان جيڪو حملو ڪندڙ طرفان ٺاهيو ويو هو، ۽ پهرين سوئچ ذريعي نه.
ان جو مطلب اهو آهي ته توهان اصلي VLAN کي VLAN1 کان سواءِ ڪنهن ٻئي سان تبديل ڪري رهيا آهيو.
جيئن ته ٻئي سوئچ کي خبر ناهي ته VLAN10 ٽيگ ڪير ٺاهيو، اهو صرف ٻئي ڪمپيوٽر ڏانهن ٽرئفڪ موڪلي ٿو. اهڙي طرح هڪ VLAN Hopping حملو ٿئي ٿو، جڏهن هڪ حملو ڪندڙ هڪ نيٽ ورڪ ۾ داخل ٿئي ٿو جيڪو شروعاتي طور تي هن جي رسائي نه هئي.
اهڙن حملن کي روڪڻ لاءِ، توهان کي ٺاهڻ جي ضرورت آهي Random VLAN، يا random VLANs، مثال طور VLAN999، VLAN666، VLAN777، وغيره، جن کي حملو ڪندڙ هرگز استعمال نٿو ڪري سگهي. ساڳئي وقت، اسان سوئچز جي ٽرڪن بندرگاهن ڏانهن وڃو ۽ انهن کي ڪم ڪرڻ لاء ترتيب ڏيو، مثال طور، اصلي VLAN666 سان. انهي صورت ۾، اسان ٽرڪن بندرگاهن لاءِ اصلي VLAN کي VLAN1 کان VLAN66 ۾ تبديل ڪريون ٿا، اهو آهي، اسان VLAN1 کان سواءِ ڪنهن به نيٽ ورڪ کي اصلي VLAN طور استعمال ڪريون ٿا.
ٽرڪن جي ٻنهي پاسن تي بندرگاهن کي هڪ ئي VLAN تي ترتيب ڏيڻ گهرجي، ٻي صورت ۾ اسان کي هڪ VLAN نمبر غلط ميلاپ ملي ويندي.
هن سيٽ اپ کان پوءِ، جيڪڏهن ڪو هيڪر فيصلو ڪري ٿو ته VLAN Hopping حملو ڪيو وڃي، ته هو ڪامياب نه ٿيندو، ڇاڪاڻ ته اصلي VLAN1 سوئچز جي ڪنهن به ٽرن بندرگاهن کي مقرر نه ڪيو ويو آهي. هي غير ڊفالٽ اصلي VLANs ٺاهي حملن جي خلاف حفاظت جو طريقو آهي.
اسان سان گڏ رهڻ لاء توهان جي مهرباني. ڇا توهان اسان جا مضمون پسند ڪندا آهيو؟ وڌيڪ دلچسپ مواد ڏسڻ چاهيو ٿا؟ آرڊر ڏيڻ يا دوستن کي سفارش ڪندي اسان جي مدد ڪريو، 30% رعايت Habr استعمال ڪندڙن لاءِ انٽري ليول سرورز جي هڪ منفرد اينالاگ تي، جيڪا اسان توهان لاءِ ايجاد ڪئي هئي: (RAID1 ۽ RAID10 سان دستياب آهي، 24 ڪور تائين ۽ 40GB DDR4 تائين).
ڊيل R730xd 2 ڀيرا سستا؟ صرف هتي هالينڊ ۾! ڊيل R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 کان! جي باري ۾ پڙهو
جو ذريعو: www.habr.com