Вероятно, можно зайти в любой ресторан/кафе/автобус с публичной точкой доступа Wi-Fi и завалить его пакетами DHCP DISCOVER / REQUEST. Если эта сеть создана маршрутизатором, работающим как DHCP-сервер, то такая атака должна привести к IP-голоданию, верно?
Есть ли способ предотвратить подобные атаки?
Я говорю только о беспроводных сетях. Там, где все клиенты используют одну и ту же общую среду и невозможно, скажем, «забанить порт, который генерирует слишком много DHCP-запросов» или что-то в этом роде.
(Я нашеланалогичный вопрос(Этот вопрос был задан 11 лет назад. Может быть, есть что-то новое в этой области.)
решение1
Попытаться ответить на вопрос «как». (взято из моего комментария)
Случайные MAC-адреса теоретически могут исчерпать адресное пространство. Как упоминалось в вопросе, нет способа однозначно идентифицировать такого злоумышленника, если есть несколько точек доступа на разных портах, которые можно использовать для сужения. Но не без создания проблем для других клиентов, и злоумышленник может просто сменить точку доступа.
- Убедитесь, что публичная подсеть используется только для публичных клиентов.
- Используйте большое адресное пространство, в этом случае злоумышленнику понадобится больше времени, чтобы исчерпать диапазон.
- или, что еще лучше, используйте несколько меньших диапазонов, чтобы злоумышленнику было сложнее оценить, сколько ресурсов необходимо для достижения блокировки.
- Используйте короткие промежутки времени для аренды, таким образом, любая атака будет ограничена во времени, и вместе с большим радиусом действия, сделает ее непрактичной для достижения
Есть ли на самом деле сценарий, при котором подобная атака была бы оправдана? (Плохое намерение для кофейни?)