концепції / dhcp
DHCP (Dynamic Host Configuration Protocol)
Кут, під яким канал заходить у DHCP: «що насправді не так з Wi-Fi у кавʼярні?» (DHCP і Wi-Fi в кавʼярні). Пристрій, який щойно приєднався до мережі, не має жодних налаштувань, тож не може адресувати запит комусь конкретному — він робить UDP-broadcast (IP 255.255.255.255, MAC FF:FF:FF:FF:FF:FF) із проханням про конфігурацію, і ці broadcast-и не перетинають роутер. Сервер слухає UDP-порт 67, клієнт — 68. Віктор проходить обмін DORA (Discover / Offer / Request / Ack), часи оренди (lease) і таймери поновлення T1 (~50%) та T2 (~87.5%), які походять з RFC, але конфігуруються. Безпековий висновок: оскільки відповісти може будь-яка машина в LAN, шахрайський DHCP-сервер може роздати шкідливий DNS-сервер або шлюз за замовчуванням. Атакувальник виграє перегони, вичерпавши пул адрес легітимного сервера — ~10 Discover-запитів з фейковими MAC, поки справжньому клієнту не скажуть «адрес більше немає».
Він будує це наживо з dnsmasq і Wireshark та повертається до теми у Q&A: DHCP starvation тривіальна (цикл на ~100 рядків з DHCP-запитами з випадковими MAC зливає 100–10 000 адрес), і вручну виставлений DNS 8.8.8.8 тебе не рятує — атакувальник просто видає тобі шкідливий шлюз за замовчуванням і пропускає весь твій трафік через себе (перше Q&A). У білді з ізоляцією VM DHCP зʼявляється в мирній ролі: pfSense тримає DHCP-сервер у внутрішній LAN, видаючи гостьовій машині IP (10.10.10.50–100), шлюз 10.10.10.1 і DNS, а WAN-інтерфейс отримує власну адресу від DHCP домашнього роутера (мережева ізоляція VM).
Розібрано у відео
- Що не так з Інтернетом в кафе? Розбираємо DHCP
повний розбір: початкове налаштування через broadcast, порти 67/68, DORA, таймери оренди/поновлення, атака «шахрайський сервер + вичерпання пулу»
- Як працює Інтернет: основи DNS
згаданий як джерело налаштування твого DNS-сервера
- Як не дати віртуальній машині лазити по вашій домашній мережі (офтоп для спонсорів)
DHCP від pfSense в ізольованій LAN проти WAN-адреси від домашнього роутера
- Питання та відповіді №1: чи захистить HTTPS?
DHCP starvation і продовження про шкідливий шлюз
Повʼязане
DNS (Domain Name System) — налаштування, яке найчастіше отруюють через шахрайський DHCP NAT і основи мереж — чому DHCP мусить broadcast-ити по UDP і лишатися всередині LAN HTTPS і TLS — остання лінія оборони, коли твої шлюз/DNS уже захоплені dnsmasq — крихітний DHCP+DNS-сервер, яким побудовано атаку pfSense — тримає легітимний DHCP-сервер у сетапі з ізоляцією VM