DHCP Starvation saldırısı için kısa bir tanım yapalım. DHCP açlık saldırısı olarak Türkçeye çevirebileceğimiz bu saldırıda, DHCP sunucusunun sahte MAC adresleri ile DHCP sunucusu üzerindeki kaynakların tüketilmesi hedeflenir. Saldırgan, DHCP sunucusu üzerindeki IP adresi kaynağını tüketene kadar sunucuya istek paketleri gönderir. Bu gerçekleştiğinde, DHCP sunucusu IP havuzları dolduğu için artık cevap veremez duruma gelir ve gelen gerçek isteklere yanıt veremez. Saldırgan amacına ulaşmıştır.
Devre dışı kalan sunucu sonrasında, atak daha da derinleştirilebilir ve Ortadaki Adam (MITM) saldırısı ile alternatif bir DHCP bağlantısı sağlanabilir. Bu yeni sunucu üzerinden, DHCP istekleri manipüle edilebilir ve kullanıcılar farklı adreslere yönlendirilebilir.
DHCP Açlık Saldırısı gerçekleştirmeyi öğrenebilir misiniz?
Kesinlikle evet. DHCP açlık saldırılarının gerçekleştirilmesi şaşırtıcı derecede kolaydır ve aktif ağ kullanıcılarına DHCP hizmetinden mahrum bırakmanın çok yaygın bir yoludur. Saldırganın, DHCP sunucu üzerine göndereceği paketleri iyi analiz ederek bu saldırının önüne geçebiliriz.
Siber güvenlik ve ağ güvenliğinin önemli bir parçası, saldırganın mevcut araçları ve amaçlarını gerçekleştirmek için atacakları adımları anlamaktır. Bunu bilmek sizi daha iyi bir güvenlik uzmanı yapar, ancak bu araçlar asla yetkisiz veya yasa dışı bir şekilde kullanılmamalıdır. Ülkemizde TSE tarafından da verilen, adına Sertifikalı Etik Hacker diyebileceğimiz bir unvan da var. Bu unvan ile nasıl beyaz şapkalı hacker olunacağını bile öğrenebilirsiniz. Ancak, DHCP açlık saldırıları hakkında öğrendiklerinizi kontrolsüz bir şekilde denememeli veya yetkisiz işlem yapmamalısınız.
DHCP İşlemi Nedir?
Dynamic Host Configuration Protocol (Dinamik Host Yapılandırma Protokolü), bir ağda bulunan bilgisayar, telefon, tablet gibi cihazlara, DNS adresi, ip adresi, ağ maskesi ve ağ geçidi tanımlanmasını otomatik olarak iletmek için kullanılan protokoldür. Bu sayede bu cihazlara ayrı ayrı ip parametrelerini manuel olarak girme gereğini ortadan kaldırıp zaman tasarrufu sağlar ve sistem yöneticisinin yükünü hafifletir. Bir DHCP açlık saldırısının nasıl çalıştığını anlamak için önce DHCP etkileşimini tam olarak anlamalıyız.
Bir cihaz açıldığında ve DHCP sunucusu içeren bir ağa bağlandığında, sunucuya DHCPDISCOVER(KEŞİF) isteği adı verilen bir istek gönderir.
DISCOVER paketi DHCP sunucusuna ulaştıktan sonra, sunucu cihazın kullanabileceği bir IP adresini tutar ve istemciye bu adresi bir DHCPOFFER paketiyle sunar.
Seçilen IP adresi için teklif yapıldıktan sonra cihaz, DHCP sunucusuna bu adresi kabul etmek için bir DHCPREQUEST paketi ile yanıt verir. Ardından sunucu, cihazın belirli bir IP adresine sahip olduğunu doğrulamak ve yeni bir adres almadan önce adresi kullanabileceği süreyi tanımlamak için bir ACK gönderir.
Sunucu cihazın IP adresine sahip olamayacağına karar verirse, bir NACK paketi gönderir. Böylece süreç tamamlanmış olur ve DHCP istemciye IP atamış ve uygun olmadığını belirtmiş olur.
Müşterinin buna verdiği cevaba geçmeden önce, DHCP sunucusunun seçebileceği bir adres havuzuna sahip olduğundan bahsetmeliyiz. Bir / 24-bit ağda, bir havuzda olabilecek maksimum IP adresi sayısı 254 olacaktır.
Ek olarak, bu adreslerden birkaçının statik yönlendirici adresleri vb. İçin kaydedilmesi çok olasıdır. Bu nedenle, DHCP sunucusunun alabileceği kullanılabilir adres havuzu yalnızca yaklaşık 252 IP adresi olabilir. Bir KEŞİF(DISCOVER) paketi aldığında, DHCP sunucusu havuzundan kalan IP adreslerinden birini seçer ve onu yeni istemciye ayırır.
Ağ üzerinde saldırgan bir profil olmaması durumunda, bu DHCP düzenlemesi, istemcilerin ağları açıp kapatmasını ve kullanılabilir ve güvenli kalmasını sağlamanın etkili bir yoludur. Ancak bir DHCP açlık saldırısı bu süreci tamamıyla istismar edebilir.
DHCP Açlık Saldırısı Nasıl Çalışır?
DHCP Açlık saldırısında, saldırgan, DHCP sunucusu kullanılabilir havuzundaki tüm IP adresleri için bir ton sahte KEŞİF paketi gönderir. IP adresi arayan istemciler, kendileri için IP adresi olmadığını fark eder ve hizmet reddedilir. Otomatik olarak sistem devre dışı kalmış ve istemciler çalışamaz duruma getirilmiş olacaktır. Ayrıca, düşman aktörün sağlayabileceği farklı bir DHCP sunucusu arayabilirler. Ayrıca, saldırgan sahte bir IP adresi kullanarak, müşterinin gönderdiği ve aldığı tüm trafiği okuyabilir.
Saldırganın bulunduğu bir ağda, Yersinia(farklı bir çok araç da kullanılabilir) gibi bir aracı çalıştıran kötü niyetli bir makinemiz olduğunda, DHCP KEŞİF paketleri gönderen bir makine olabilir. Bu kötü amaçlı istemci istek için kaynak MAC adresi olarak sahte oluşturulmuş MAC adreslerini kullanarak yüzlerce veya binlerce kötü amaçlı KEŞİF paketi gönderir.
DHCP sunucusu bu sahte DHCP KEŞİF paketlerinin her birine yanıt verirse, IP adres havuzunun tamamı tükenebilir ve bu DHCP sunucusu, gerçek DHCP isteklerine sunacak daha fazla IP adresi kalmayabilir.
Bir DHCP sunucusunun sunabileceği daha fazla IP adresi olmadığında, genellikle bir sonraki şey saldırganın kendi DHCP sunucusunu ağa getirmesi olacaktır. Bu sahte DHCP sunucusu daha sonra IP adreslerini dağıtmaya başlar.
Bunun saldırganın yararı, sahte bir DHCP sunucusunun varsayılan DNS ve ağ geçidi bilgileri de dahil olmak üzere IP adresleri dağıtması durumunda, bu IP adreslerini kullanan ve bu varsayılan ağ geçidini kullanmaya başlayan istemcilerin artık saldırganın makinesi üzerinden yönlendirilebilmesidir. Bu noktadan sonra saldırgan kendisini varsayılan ağ geçidi olarak gösterip, tüm trafiği kendi üzerinden akıtabilir. Manipüle edilebilecek bir durum oluşmuştur artık. Saldırgan akan trafiği değiştirebildiği gibi, istediği yanlış WEB adreslerine de yönlendirebilecektir. Bir anlamda saldırgan Ortadaki Adam (MITM) saldırısı yapmaktadır. İstemci her şeyin normal seyrinde devam ettiğini, trafiğinin güvenli olduğunu düşünmektedir ancak data trafiği bilmediği bir ağ üzerinden geçmektedir.
DHCP Açlık Saldırısından Sonra Ne Olabilir?
DHCP aç bırakma saldırısı, aşırı yüklenmiş bir DHCP sunucusundan IP adresi istekleri yapan meşru istemciler için hizmet reddi (DoS) ile sonuçlanır. Haliyle artık servis dışı kalmış bir hizmetimiz vardır. Bundan daha kötüsü ise, yukarıda ifade ettiğimiz gibi Ortadaki Adam (MITM) saldırısı girişimi ile devam edilmesi durumudur.
DHCP sunucusu tüm IP adreslerini dağıttığında, IP adresi isteyen veya IP adresine ihtiyacı olan yeni bir DHCP istemcisi ağa geldiğinde ne olacak? Cevap elbette DoS: Hizmet Reddi. Herhangi bir IP adresi mevcut olmayacaktır.
Bu nedenle, çoğu zaman, bir DHCP Açlık Saldırısının ardından, saldırgan IP adreslerini dağıtmaya başlamak için kendi DHCP sunucusuyla birlikte gelir. Ve bu, kullanıcı trafiğimizin ek olarak tehlikeye girmesine yol açar. Özellikle saldırgan, alt ağdan ayrılmaya çalışırken cihazlarımızdan gelen tüm trafiğin saldırgan cihazdan geçtiği ortadaki adam saldırısını gerçekleştirdiyse artık saldırgan, fiziksel olarak hedef ile hedeflenen hedef arasına girmiştir.
DHCP Açlık Saldırılarına Karşı Nasıl Korunabilirsiniz?
DHCP açlık saldırılarının üstesinden gelmek kolaydır. Bu tür bir saldırıyı azaltmaya yardımcı olmak için liman güvenliği adı verilen bir yaklaşım var. Gelişmiş siber güvenlik eğitimi, DHCP açlık saldırılarını önlemenize de yardımcı olabilir.
DHCP açlık saldırıları, bir ağ için gerçek ve mevcut bir tehlikedir. Düşman bir aktörün bir DHCP sunucusunu sahte KEŞİF paketleriyle nasıl kandırdığını ve meşru istemcilere IP adresleri sağlayamamasını nasıl engellediğini anlamak, bu tür saldırıları önlemenin ve ağınızı güvende tutmanın anahtarıdır. Yukarıda bu süreci detaylıca anlatmaya çalıştık. Güvenlik uzmanları bu noktada kendi ağlarına özgün çözümler üretebilirler.
DHCP Açlık saldırısını önleminin ilk adımı MAC adresi sınırlamasıdır. Ağ üzerindeki herhangi bir port üzerinden akacak MAC adresi sayısı 2-3 gibi bir rakam ile sınırlandırabilir. Mevcut ağ yapımızda da zaten IP Telefon, PC, Latop gibi cihazlarımızı düşününce bu sayı ideal olacaktır.
Bununla birlikte MAC adresi – IP eşleştirmesi de bir çözüm olacaktır. Özellikle küçük işletmelerde bu eşleştirmeler yapılarak, farklı bir kullanıcının ağa dahil olması engellenebilir.
Yine ağ üzerindeki network cihazları aracılığıyla DHCP Snooping özelliği aktif edilebilir. Böylece hangi portlar üzerinden akacak DHCP paketlerine izin verileceği de güvence altına alınmış olacaktır. İstemci portu üzerinden dönülen DHCP paketleri kesilecek, istemcilerin sahte DHCP isteklerine maruz kalması önlenecektir.