Saya sedang membaca halaman ini , ketika saya menemukan peringatan ini:
PERINGATAN !: Reservasi DHCP umumnya bergantung pada alamat MAC untuk memesan penugasan alamat IP tertentu. Jika Anda mengacak alamat MAC Anda, Anda akan merusak reservasi Anda.
Misalkan kita memiliki server DHCP untuk mengalokasikan alamat IP pada jaringan. Bayangkan kita sengaja menghubungkan perangkat jahat yang diatur untuk terus-menerus memalsukan alamat MAC-nya dan kemudian menyambung kembali ke jaringan (meminta IP baru ke DHCP). Seperti yang saya pahami, DHCP akan memesan IP untuk setiap alamat MAC, oleh karena itu jika proses ini dilakukan cukup cepat, DHCP akan kehabisan alamat IP, mencegah perangkat yang sah baru untuk terhubung hingga waktu sewa berakhir.
Meskipun secara teori ini tampak mungkin, saya tidak yakin apakah ini akan berhasil dalam praktiknya.
Bisakah MAC spoofing membuat DHCP kehabisan alamat IP?
Apakah ada nama untuk serangan seperti itu?
Apakah ada mekanisme pertahanan untuk mencegah serangan semacam ini?
sumber
Jawaban:
Ya, perangkat jahat di Ethernet atau Wi-Fi LAN Anda dapat mengambil semua penyewaan DHCP Anda dan bahkan menggunakan ARP untuk membuat semua alamat IP di jaringan (bahkan yang di luar kolam DHCP) tampak sibuk. Itu hanya puncak gunung es. Orang jahat dapat melakukan segala macam hal yang menyebabkan masalah bagi pemilik LAN dan sesama pengguna.
Premis Ethernet atau Wi-Fi LAN adalah tempat yang aman. Hanya perangkat tepercaya yang diizinkan untuk terhubung. Mencoba menjalankan LAN tanpa premis itu penuh dengan masalah segera setelah pengguna yang setengah berpengetahuan, setengah jahat (atau sebagian malware) muncul. Membutuhkan otentikasi 802.1X pada LAN Anda dan hanya membiarkan orang / perangkat tepercaya terhubung.
Jika Anda harus mengizinkan perangkat yang tidak diautentikasi / tidak dapat dipercaya, tetapi ingin membatasi kerusakan yang dapat disebabkan oleh penyamun, jangan izinkan mereka masuk ke LAN bersama. Karantina perangkat yang tidak diautentikasi secara otomatis masing-masing ke VLAN satu perangkat mereka sendiri dan memaksakan penyaringan jalan keluar yang hati-hati pada setiap VLAN tersebut sehingga mereka tidak dapat menyebabkan masalah bagi orang lain. Bisa jadi lebih banyak masalah daripada nilainya, tetapi mungkin ada produk kelas perusahaan yang membuatnya mudah.
sumber
Anda salah membaca peringatan. Pemesanan istilah alamat adalah cara untuk mengalokasikan alamat IP yang sama dan tetap setiap kali perangkat meminta koneksi dari server DHCP.
Ini didasarkan pada mengenali alamat MAC dan mengalokasikan alamat yang telah ditentukan dari tabelnya. Semua peringatan mengatakan adalah bahwa jika Anda menipu alamat MAC yang berbeda, server DHCP tidak akan melihat alamat Anda yang sebenarnya, sehingga tidak dapat membuat kecocokan dengan entri dalam tabelnya dan Anda akan mendapatkan alamat acak dari kumpulan.
Anda membingungkan reservasi alamat dengan alokasi alamat . Dalam kasus yang terakhir alamat tidak tersedia untuk perangkat penghubung lain sampai perangkat dengan alamat yang dialokasikan terputus, ketika alamat dilepaskan ke kolam DHCP dan menjadi tersedia lagi untuk perangkat lain.
Ada batas waktu yang diterapkan (waktu sewa) sebelum alamat yang dialokasikan dirilis, sehingga masalah jaringan sementara tidak menghasilkan alamat IP yang terus berubah.
sumber