Anasayfa » DHCP DOS Ataklarını tespit etmek

Makaleyi Paylaş

Güvenlik

DHCP DOS Ataklarını tespit etmek


Yerel ağımızdaki DHCP açıklarından faydalanarak sisteme giriş,  acemice kurgulanmış ağlarda genellikle ortaya çıkan bir güvenlik sorunudur. Bu sorunu tespit etmek ve sistemimizdeki bir açığı daha kapatmak için bu yazıyı sizler için hazırladım. Öncelikli olarak test ortamımızı yaratalım ve konumuza başlayalım.


Not: Kesinlikle bu denemeyi gerçek çalışan sisteminizde denemeyin.




1. Test Ortamı:




Yarattığım test ortamında 3 adet sanal sistem kullanacağım. Bunlar; a. Ubuntu(saldırgan), b. Windows Server 2003 üzerinde DHCP servisi(Hedef) ve C. XP üzerinde wireshark(izleyici)

Sponsor

Sistemde 2 sanal switch’imiz bulunmaktadır. Bunlar (vmnic2 & vmnic3) olarak ayarlanmıştır. Her iki uplink portu için  Cisco Catalyst 3560 bağlanmıştır.Sanal Switch 2 de (vSwitch2) 2 ayrı port grubu tanımlanmıştır. Ve karşılaştırma için paket verilerine izin verilecek şekilde ayarlanmıştır.XP makinedeki Wireshark için de izleyebilmesi için aynı gruba dahil edilmiştir. Diğer Switch üzerinde de saldırganımızın olduğu Ubuntu bulunmaktadır. Aşağıdaki resimde ayrıntılı olarak anlatılanları görebilirsiniz.




image001




2. Saldırı:




Windows Server 2003 üzerindeki DHCP servisine saldırı için Ubuntu üzerinde yersinia expolitini kullanacağım. Yersinia expolitinin yaptığı iş DHCPDISCOVER paketleri göndererek DHCP scorpe’yi çökertmektir.




image002




Wireshark ile DHCPDISCOVER paketlerini daha iyi analiz edip diğerlerinden ayırabiliriz. Aşağıdaki resimde DHCP sunucusunun scorpe’nin çöktüğünü ve artık DHCPOFFER paketleri yollamaya başladığını görebiliriz.


image003


3. İnceleme:




Windows Server 2003 üzerindeki DHCP sunucunun akıbetini aşağıdaki resimde açık bir şekilde görebiliyoruz. Alabileceği maksimum discover paketlerini almış %100 kullanımda gözüküyor ancak baktığımızda IP alan hiçbir host yok. J




Discovers – 69523
Offers – 100 (alınabilecek ip aralığı sayısı)
In Use – 100% (DHCP scope çöktü tam kapasitede)




image004




Sayfayı her yenilemenizde istatistiklerin değiştiğini ve daha da dibe gittiğini görebilirsiniz J Event ID 1063 ve 1020 aldığınızda ise artık DHCP sunucumuzun yanıt veremediğini ve alınabilecek IP kalmadığını görebilirsiniz. Eğer servisi yeniden başlatırsanız 10dk içinde her şey normale dönecektir. Tabi atak hala devam etmiyorsa J




4. Suçluyu bulma:




Olası bulma tekniğimiz ise Windows PerfMon u çalıştırarak ile başlamalıdır.DHCP Discovers/saniye cinsinden bir tanımlama açıp oradan izleme yapabiliriz. Aşağıdaki grafikte de gördüğümüz gibi kullandığımız tool(yersinia) sürekli 6000/sn olarak DHCPDISCOVER paketleri göndermektedir. Sonuç olarak DHCP sunucusu yanıt veremez hale geldiğinde ise 0 isteğe düşmüştür. Yersinia ile bu testimizde 100Mbit lik bir hat üzerinde testimizi gerçekleştirdik. Çoğu ağın büyüklüğünden(küçük olması) dolayı DHCPDISCOVER paketlerinin bu seviyelere çıkması normal olmayan olarak kabul edilmektedir. Aşağıdaki grafikte de DHCP sunucusu üzerinde saldırı olduğunu anlayabiliyoruz.


image005


Yersinia MAC adres tabanlı atak yaptığı için sistemimizde yönetilebilir switch var ise bulmak daha kolay olacaktır. Eğer altyapımızda yönetilebilir switch yok ise kaynakları tek tek deneyerek bulmak gerekebilir. Wireshark üzerinden mac filtreleme yaparak elinizdeki tüm kaynakları araştırmak gerekir.


Aşağıdaki resimde 3650 nin mac tablosunu görebiliyoruz. Yersinia bu tabloyu sadece 10sn içerisinde doldurdu ve onu bir hub dan farksız hale getirdi. MAC adresi dolan switch işlevini yapamaz hale geldi.


image006


Saldırganı bulabilmek için switch üzerinde port istatistiklerinden faydalanacağız. Switch üzerinde 2 port aktif ancak Fa0/7  üzerinde bulunan host’un RXBS değerleri göz önüne alınırsa saldırganımızı tespit ettik sanırım J Aşağıdaki resimdeki değerler 5dklık süreç içinde görüntülenmiştir.




image007




İyi bir saldırgan kesinlikle bu tuzağı uzun sürede kullanmayacaktır. Yersinia’nın sadece birkaç saniyede DHCP üzerinde 100 adet host blokladığını varsayarsak önlemlerinizi ona göre almanız ve altyapınızı bu bağlamda kurmanız tavsiyemdir.




5. Sonuç:



İyi bir sistem yöneticisi olabilmek için öncelikli işimizin en başında altyapımızı sağlam kurmak gerekmektedir. Açıklar kontrol edilmeli, yama yönetimleri, güvenlik ihlal testleri, güvenlik duvarı testleri periyodik olarak yapılmalıdır. Makalede bahsettiğimiz gibi bir duruma düşmemek için MAC adreslerini DHCP sunucusundaki artışları izlemek için monitor kesinlikle ayarlanmalıdır. Sonraki yazımda port security ve DHCP Snooping’e nasıl karşı gelebileceğimiz ile ilgili bir makale hazırlayacağım. Herkese güvenli günler .

Makaleyi Paylaş

Cevap bırakın