Blog navigation

ค้นหาข้อมูลภายใน Blog

หมวดหมู่ Blog

ดูทั้งหมด

บทความล่าสุด

ดูบทความล่าสุดทั้งหมด

บทความยอดนิยม

ดูบทความยอดนิยมทั้งหมด

Blog tags

ruijie engenius aruba repeater access point loadbalance poe switch windows 10 software mesh mikrotik security draytek งานติดตั้ง authenticate ruijie cloud synology controller peplink zyxel router tp-link firewall ubiquiti unifi controller

 Blog Rss

การใช้ DHCP Snooping เพื่อป้องกัน DHCP Server จาก Router ที่ไม่เกี่ยวข้อง

9689 Views 0 Liked

การใช้ DHCP Snooping เพื่อป้องกัน DHCP Server จาก Router ที่ไม่เกี่ยวข้อง

ปัญหาที่เจอบ่อยๆสำหรับงานที่มีการเดินสาย Lan ไปยังตำแหน่งๆต่างๆ เช่นในห้องพัก แล้ว User เอา Wireless Router มาต่อเข้ากับ Port Lan เพื่อกระจายสัญญาณ Wireless ต่ออีกที อาจจะเพราะไม่รู้ หรือ ต่อผิด หรือ มีอะไรในใจ ^^

ทีนี้ดันไปต่อเข้า Port Lan ของ Wireless Router แทนที่จะต่อเข้า Port Internet


พวก Wireless Router ค่า Default มันเป็น DHCP Server คือมันแจก IP Address ให้กับเครื่องลูกข่ายที่ขอ มันก็จะแจกอัดเข้ามาในวง Network หลักที่ใช้ ข้างๆห้องก็จะได้ IP Address/ Gateway/ DNS จาก Wireless Router ตัวนี้ ทีนี้พอจะออก Internet หมายเลข Gateway มันไม่ถูกต้อง เลยจะออก Internet ไม่ได้ครับ


กล่าวพื้นฐานเรื่อง DHCP Server ซักนิดครับ

DHCP ย่อมาจาก Dynamic Host Configuration Protocol เป็นรูปแบบการขอและแจกค่าที่จำเป็นในการเชื่อมต่อ Network เช่น IP Address, Subnet Mask, Gateway, Primary DNS, Secoundary DNS


โดยจะมีฝั่งขอ คือ DHCP Client พวกเครื่องลูกข่าย เช่น PC, Smartphone, Tablet, Access Point หรือ พวกอุปกรณ์เครือข่ายทั่วไปที่ต้องมีหมายเลข IP Address ในการเชื่อมต่อเข้า Network ครับ

และก็

ฝั่งให้คือ DHCP Server เช่นพวก Router, Windows Server, Router Modem, Broadband Router หรือพวกอุปกรณ์ที่มี Mode Router ก็ได้เช่นกัน


กระบวนการคุยกันระหว่าง ฝั่งขอ (Client) กับ ฝั่งให้ (DHCP Server) เหมือนคนคุยกันสองคนนะครับ


dhcp-dynamic-host-configuration-protocol


1. DHCP Client จะประกาศ (Broadcast) DHCP discovery เข้าไปในเครือข่าย
2. ทีนี้ถ้าในวง Network เรามี DHCP Server พอมันได้ยิน DHCP discovery ก็จองหมายเลข IP Address ที่ตัวเองมีและยังไม่มีใครใช้ และจะส่ง OFFER มาที่ DHCP Client โดยจะมีข้อมูล MAC Address, IP Address, Subnet mask, Gateway, DNS และระยะเวลาที่ให้ใช้ IP มาที่เครื่อง DHCP Client
3. DHCP Client ได้รับ OFFER มา ก็จะเอาข้อมูล IP, Subnet, Gateway ที่ได้มาจัดการ Network ของตัวเอง และส่ง REQUEST กลับไปที่ DHCP Server
4. DHCP Server ได้รับ REQUEST ก็จะรู้ว่า DHCP Client เอา IP Address ไปใช้แล้ว ก็ส่ง ACKNOWLEDGE กลับไป



ดูจากรูปนี้น่าจะง่ายขึ้นมาหน่อยครับ


เครื่อง Client ประกาศ DISCOVER เข้าไปในเครือข่าย ตัว Router (192.168.10.1) ได้ยิน ก็ทำการส่งข้อมูล IP Address กลับไปที่ Client

dhcp snooping



เครื่อง Client ก็จะมี IP Address/ Gateway/ DNS เวลาออก Internet ก็จะรู้ว่า Gateway อยู่ที่ไหน ส่งไปได้ถูกต้อง


dhcp snooping




แต่ปัญหาคือ ถ้าดันมี DHCP Server ปลั๊กเข้ามาในระบบ เช่น พวกอุปกรณ์ Wireless Router ทั่วๆไป (ในรูปชื่อ Router-X) ทีนี้พอเครื่อง Client ประกาศ DISCOVER เข้าไปในเครือข่าย เป็นจังหวะที่ Router-X ได้ยินไวกว่า จัดการส่ง OFFER มาให้ เครื่อง Client ซะไวเลย

dhcp snooping



เครื่อง Client มันเลยได้ IP Address/ Subnet/ Gateway, DNS มาจาก Router-X ซึ่งผิดครับ

dhcp snooping



พอเครื่อง Client จะออก Internet แต่หมายเลข Gateway มันเป็นตัว Router-X ทำให้ Packet วิ่งไปที่ Router-X แทนที่จะเป็นตัว Router ตัวจริง ทีนี้ Router-X อาจจะไม่ได้มีอะไร คือคนที่ใช้แค่ต่อผิดเฉยๆ ก็ไม่มีปัญหาครับ แต่ถ้าเขาต่อออก Internet ได้ด้วย อาจจะต่อผ่าน 3G/4G และมีการ Sniff เอาไว้ ข้อมูลที่เราส่งออกไปก็อาจจะถูกดักเอาไว้ได้ครับ



ในอุปกรณ์ Managed Switch บางรุ่นบางยี่ห้อ จะมี Feature นึงที่ไว้ป้องกันไม่ให้ Router อื่นๆที่ไม่ใช่ Router หลัก ส่ง IP Address แจกเข้ามาในระบบ Feature นี้เรียกว่า DHCP Snooping ครับ



ในตัวอย่างนี้จะใช้เป็น Switch ของ IP-COM รุ่น G3210P ครับ เพราะเล่นง่ายหน่อย


หลักการคือ เราจะกำหนดที่ Port ของ Switch ว่า Port ไหน ยอมให้มีการต่อ DHCP Server โดย Port ที่ยอมให้มีการต่อ จะเรียกว่า Trusted-Port ส่วน Port ที่ไม่ยอม จะเรียกว่า Untrusted-Port เราก็จัดการให้ Port ที่ต่อเข้ากับ Router หลักเป็น Trusted Port ส่วน Port อื่นๆเป็น Untrusted ให้หมด

ip-com dhcp nooping


เมื่อเครื่อง Client ประกาศขอ IP เข้ามาในเครือข่าย (DISCOVER) ตัว Router-X ซึ่งอยู่ในเครือข่ายด้วย มันได้ยินประกาศด้วยแน่นอน มันก็ส่ง OFFER กลับมาให้ แต่มันต่อเข้า Untrusted Port ตัว Switch เลย Block Packet นี้ซะ OFFER เลยส่งไปหา Client ไม่สำเร็จ ซึ่งตัว Switch จะยอมรับ Packet OFFER จาก Trusted-Port อย่างเดียวเท่านั้น ตัว Client เลยได้ IP Address จาก Router หลักได้อย่างถูกต้อง



ทีนี้ดูวิธีการ Config กันครับ


เบื้องต้น ผมต่อ Router-X มี IP: 192.168.88.1 (เป็น Mikrotik รุ่นที่ใส่ Air-Card ได้ครับ) เข้า Switch และ Router หลัก มี IP: 192.168.10.1 เข้า Switch และต่อ PC เข้า Switch ด้วยครับ

ทำการ Release/ Renew IP จะได้ IP จาก Router-X ซึ่งเป็น IP: 192.168.88.254 ออก Internet ผ่าน Mikrotik แทน ซึ่งจะสามารถดัก Packet ข้อมูลได้

ipconfig -release




เข้า Menu Device Management --> DHCP Snooping

Enable: DHCP Snooping

ip-com switch dhscp snooping



เลือก Trusted Port ที่จะยอมให้มี DHCP Server หรือ Port ที่ต่อเข้ากับ Router ส่วน Port อื่นที่ไม่แน่ใจว่าจะมีใครต่อ Router เข้ามา ก็เลือกเป็น Untrust ไปครับ

ip-com switch dhscp snooping



ทดสอบ Release/ Renew IP อีกรอบ จะได้ IP Address จาก Router หลักครับ

ip-com switch dhscp snooping


เรียบร้อยครับ

บทความนี้มีประโยชน์หรือไม่? ทางเราขอคำแนะนำในการนำไปแก้ไขปรับปรุง
Posted in: Network Tools / Software

Facebook comment

Related posts

Follow us on Facebook

Facebook