спасибо большое, как обычно +1000 доната за новый урок. Но вообще жду больше по DevOps, очень жду :D напомню, по ним буду донатить по 2000 за каждый!!! Очень хочется следующий DevOps урок, если можете - выпустите на неделе.
@@newedusys Что делает этот код и как от него защититься? #!/usr/bin/env python3 #DHCP Starvation: #Import Scapy from scapy.all import * #conf.checkIPaddr needs to be set to False. #When conf.checkIpaddr the reponse IP isn't checked #against sending IP address. Don't need to match. conf.checkIPaddr = False #Create DHCP discover with destination IP = broadadcast #Source MAC address is a random MAC address #Source IP address = 0.0.0.0 #Destination IP address = broadcast #Source port = 68 (DHCP / BOOTP Client) #Destination port = 67 (DHCP / BOOTP Server) #DHCP message type is discover dhcp_discover = Ether(dst='ff:ff:ff:ff:ff:ff',src=RandMAC()) \ /IP(src='0.0.0.0',dst='255.255.255.255') \ /UDP(sport=68,dport=67) \ /BOOTP(op=1,chaddr = RandMAC()) \ /DHCP(options=[('message-type','discover'),('end')]) #Send packet out of eth0 and loop the packet sendp(dhcp_discover,iface='eth0',loop=1,verbose=1) Этот код представляет собой пример атаки, известной как "DHCP Starvation" (истощение DHCP). Он предназначен для исчерпания IP-адресов, доступных на DHCP-сервере, с целью препятствовать получению новых IP-адресов законными клиентами. Что делает код: Импортирует библиотеку Scapy, которая используется для создания и отправки сетевых пакетов. Отключает проверку IP-адреса: conf.checkIPaddr = False позволяет отправлять DHCP-запросы, не сверяя отправленный IP с ответом сервера. Создаёт DHCP Discover пакеты: Генерирует фрейм с: MAC-адресом отправителя - случайным (RandMAC()). IP-адресом отправителя - 0.0.0.0 (это стандартное поведение для клиента, который запрашивает IP через DHCP). IP-адресом назначения - широковещательный адрес 255.255.255.255. Портами - клиент использует порт 68, а сервер - порт 67. Добавляется тип сообщения DHCP - "discover" (поиск доступных IP-адресов). Постоянная отправка пакетов: команда sendp(dhcp_discover,iface='eth0',loop=1,verbose=1) отправляет сгенерированные DHCP Discover пакеты в бесконечном цикле через интерфейс eth0. Цель атаки: В ходе атаки программа отправляет множество DHCP Discover пакетов с разными случайными MAC-адресами. Это заставляет DHCP-сервер выделять новые IP-адреса для каждого нового "клиента". В результате, все доступные IP-адреса на сервере могут быть использованы, и легитимные устройства не смогут получить адреса для доступа в сеть. Защита от атаки DHCP Starvation: DHCP Snooping: На многих коммутаторах можно включить функцию DHCP Snooping, которая позволяет отслеживать DHCP-запросы и ограничивать доступ к DHCP-серверу только для доверенных устройств. Это предотвращает отправку фальшивых запросов с неавторизованных портов. Лимитирование числа DHCP-запросов на порт: Настройте сетевое оборудование так, чтобы каждый порт мог отправлять только ограниченное количество DHCP-запросов за определённый промежуток времени. Это предотвратит злоупотребление отправкой большого числа запросов. Защита на уровне сервера: Настроить DHCP-сервер так, чтобы он имел ограничения на количество IP-адресов, которые можно выделить одному MAC-адресу или устройству за короткий период времени. Фильтрация MAC-адресов: Включите фильтрацию MAC-адресов на сетевом оборудовании для предотвращения использования случайных MAC-адресов. Аутентификация устройств: Используйте 802.1X для аутентификации устройств перед тем, как они получат доступ к сети. Это может предотвратить подключение злоумышленников. Таким образом, ключевая защита заключается в применении сетевых функций безопасности на уровне коммутаторов и маршрутизаторов, а также в настройке ограничений на DHCP-сервере.
Спасибо вам большое за уроки, понятные и качественные
Очень хорошее разъяснение
спасибо) я старался, чтобы опыт был нагляден
@@newedusys получилось очень наглядно!
спасибо большое, как обычно +1000 доната за новый урок. Но вообще жду больше по DevOps, очень жду :D напомню, по ним буду донатить по 2000 за каждый!!! Очень хочется следующий DevOps урок, если можете - выпустите на неделе.
благодарю ) прям ощущение, что продаю душу , а не знания )
@@newedusys Что делает этот код и как от него защититься?
#!/usr/bin/env python3
#DHCP Starvation:
#Import Scapy
from scapy.all import *
#conf.checkIPaddr needs to be set to False.
#When conf.checkIpaddr the reponse IP isn't checked
#against sending IP address. Don't need to match.
conf.checkIPaddr = False
#Create DHCP discover with destination IP = broadadcast
#Source MAC address is a random MAC address
#Source IP address = 0.0.0.0
#Destination IP address = broadcast
#Source port = 68 (DHCP / BOOTP Client)
#Destination port = 67 (DHCP / BOOTP Server)
#DHCP message type is discover
dhcp_discover = Ether(dst='ff:ff:ff:ff:ff:ff',src=RandMAC()) \
/IP(src='0.0.0.0',dst='255.255.255.255') \
/UDP(sport=68,dport=67) \
/BOOTP(op=1,chaddr = RandMAC()) \
/DHCP(options=[('message-type','discover'),('end')])
#Send packet out of eth0 and loop the packet
sendp(dhcp_discover,iface='eth0',loop=1,verbose=1)
Этот код представляет собой пример атаки, известной как "DHCP Starvation" (истощение DHCP). Он предназначен для исчерпания IP-адресов, доступных на DHCP-сервере, с целью препятствовать получению новых IP-адресов законными клиентами.
Что делает код:
Импортирует библиотеку Scapy, которая используется для создания и отправки сетевых пакетов.
Отключает проверку IP-адреса: conf.checkIPaddr = False позволяет отправлять DHCP-запросы, не сверяя отправленный IP с ответом сервера.
Создаёт DHCP Discover пакеты:
Генерирует фрейм с:
MAC-адресом отправителя - случайным (RandMAC()).
IP-адресом отправителя - 0.0.0.0 (это стандартное поведение для клиента, который запрашивает IP через DHCP).
IP-адресом назначения - широковещательный адрес 255.255.255.255.
Портами - клиент использует порт 68, а сервер - порт 67.
Добавляется тип сообщения DHCP - "discover" (поиск доступных IP-адресов).
Постоянная отправка пакетов: команда sendp(dhcp_discover,iface='eth0',loop=1,verbose=1) отправляет сгенерированные DHCP Discover пакеты в бесконечном цикле через интерфейс eth0.
Цель атаки:
В ходе атаки программа отправляет множество DHCP Discover пакетов с разными случайными MAC-адресами. Это заставляет DHCP-сервер выделять новые IP-адреса для каждого нового "клиента". В результате, все доступные IP-адреса на сервере могут быть использованы, и легитимные устройства не смогут получить адреса для доступа в сеть.
Защита от атаки DHCP Starvation:
DHCP Snooping: На многих коммутаторах можно включить функцию DHCP Snooping, которая позволяет отслеживать DHCP-запросы и ограничивать доступ к DHCP-серверу только для доверенных устройств. Это предотвращает отправку фальшивых запросов с неавторизованных портов.
Лимитирование числа DHCP-запросов на порт: Настройте сетевое оборудование так, чтобы каждый порт мог отправлять только ограниченное количество DHCP-запросов за определённый промежуток времени. Это предотвратит злоупотребление отправкой большого числа запросов.
Защита на уровне сервера: Настроить DHCP-сервер так, чтобы он имел ограничения на количество IP-адресов, которые можно выделить одному MAC-адресу или устройству за короткий период времени.
Фильтрация MAC-адресов: Включите фильтрацию MAC-адресов на сетевом оборудовании для предотвращения использования случайных MAC-адресов.
Аутентификация устройств: Используйте 802.1X для аутентификации устройств перед тем, как они получат доступ к сети. Это может предотвратить подключение злоумышленников.
Таким образом, ключевая защита заключается в применении сетевых функций безопасности на уровне коммутаторов и маршрутизаторов, а также в настройке ограничений на DHCP-сервере.
@@newedusys 🤣🤣