DHCP Spoofing & DHCP Snooping
CCNP Enterprise Layer 2 Security Access Switch
1. DHCP Protokolü – DORA Süreci (Hatırlatma Değil, Temel)
DHCP, broadcast tabanlı çalışan bir protokoldür. Bu kritik detay, onu Layer 2 saldırılara açık hale getirir.
Client -> DHCPDISCOVER (Broadcast)
Server -> DHCPOFFER (Broadcast/Unicast)
Client -> DHCPREQUEST
Server -> DHCPACK
⚠️ Switch, DHCP Snooping yoksa bu paketleri körlemesine iletir.
2. DHCP Spoofing (Rogue DHCP) Nedir?
DHCP Spoofing, ağda yetkisiz bir DHCP sunucusunun istemcilere IP dağıtmasıdır.
Saldırgan genelde:
- Daha hızlı DHCPOFFER gönderir
- Sahte gateway / DNS verir
- Trafiği MITM konumuna çeker
3. Saldırı Anında Switch İçinde Ne Olur?
DHCP Snooping kapalıysa switch şunu yapar:
- Broadcast DISCOVER'ı her porta yollar
- Gerçek DHCP ve rogue DHCP aynı anda OFFER gönderir
- İstemci ilk gelen OFFER’ı kabul eder
📌 Bu noktada **switch’in hiçbir fikri yoktur**.
4. DHCP Snooping – Switch Seviyesinde Çalışma Mantığı
DHCP Snooping aktif edildiğinde switch:
- DHCP paketlerini özel olarak işaretler
- Portları trusted / untrusted olarak ayırır
- Binding table oluşturur
IP Address | MAC Address | VLAN | Interface | Lease Time
5. Trusted vs Untrusted – Gerçek Anlamı
Bu kavram sadece “izinli / izinsiz” değildir.
- Trusted port: DHCP OFFER / ACK geçebilir
- Untrusted port: OFFER / ACK DROP edilir
⚠️ Untrusted porttan gelen OFFER:
DROP REASON: DHCP_SNOOPING_UNTRUSTED_PORT
6. Binding Table Nasıl Oluşur?
Binding table, yalnızca başarılı DHCPACK sonrası yazılır.
- DISCOVER → tabloya yazılmaz
- OFFER → yazılmaz
- REQUEST → yazılmaz
- ACK → yazılır
Bu tablo:
- DAI
- IP Source Guard
- Port Security
7. Yanlış Konfigürasyon – Toplu IP Alamama Senaryosu
Gerçek saha vakası:
- DHCP Snooping açılır
- Uplink port trusted yapılmaz
- Tüm DHCPOFFER’lar DROP edilir
%DHCP_SNOOPING-5-DROP: DHCP packet dropped on untrusted port
Sonuç: Tüm ofis IP alamaz.
8. Enterprise Seviyesi Konfigürasyon
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping information option
ip dhcp snooping limit rate 15
9. DHCP Spoofing + ARP Spoofing Zinciri
Rogue DHCP çoğu zaman tek başına kullanılmaz.
- Sahte gateway dağıtılır
- Ardından ARP Spoofing yapılır
- MITM kalıcı hale getirilir
📌 İşte bu yüzden DHCP Snooping, DAI’nin ön koşuludur.
10. Enterprise Checklist
- Uplink portlar trusted mı?
- Access portlar untrusted mı?
- Rate limit aktif mi?
- Binding table loglanıyor mu?