Security

如何防止對無線介面的 DHCP IP 飢餓攻擊?

  • August 15, 2021

有可能去任何有公共 Wi-Fi 熱點的餐廳/咖啡館/公共汽車,然後用 DHCP DISCOVER / REQUEST 數據包淹沒它。如果這個網路是由充當 DHCP 伺服器的路由器創建的,那麼這種攻擊應該會導致 IP 匱乏,對吧?

有沒有辦法防止此類攻擊?

我說的只是無線網路。每個客戶端都使用相同的共享介質的地方,比方說,不可能“禁止生成太多 DCHP 請求的埠”之類的。

(我發現了一個11 年前提出的類似問題。也許這方面有一些新的東西。)

嘗試回答“如何做”的問題。(取自我的評論)

理論上,隨機 MAC 地址會耗盡地址空間。如問題中所述,如果不同埠上有多個 AP 可用於縮小範圍,則無法唯一辨識此類攻擊者。但並非沒有給其他客戶端帶來問題,攻擊者可能只是切換 AP。

  • 確保公共子網僅用於公共客戶端

  • 使用大地址空間,這樣攻擊者將需要更長的時間來耗盡範圍

    • 甚至更好的是,使用多個較小的範圍,使任何攻擊者更難猜測需要多少資源來實現阻塞。
  • 使用短時間進行租約,這樣任何攻擊都會在時間上受到限制,再加上範圍大,難以實現

實際上是否存在這種攻擊攻擊值得做的場景?(對咖啡店不利?)

引用自:https://serverfault.com/questions/1074578