Согласен, использование статики отличное решение, но его не всегда возможно быстро и надежно реализовать. Кроме того, использование статики не защитит от атаки с подменой DHCP сервера.
1. Шелшок устарел, с этим никто не спорит, но протокол DHCP в первую очередь необходимо рассматривать как метод осуществления MITM.
2. Портсекурити тут вообще ни при делах, но про него стоило упомянуть. Для защиты от подобного рода скриптов — https://github.com/hatRiot/zarp/blob/master/src/modules/dos/dhcp_starvation.py
3. Мучать днсмаск на какой то мыльнице это сильно. Были проверки и на нормальном железе — результат тот же, время ответа на DHCPDISCOVER от легитимного клиента значительно увеличивается.
5. Клиенты кладут болт на все опции которые не запрашивали. Согласен, но некоторые клиенты, например NetworkManager из состава CentOS 6.5 готов обработать любую опцию которую ему прислал сервер.
6. Релей агенты на свичах с опцией 82 + дхцп сервер который имеет только статические привязки мак-ип. Полностью согласен.
Описал хорошо, молодец.
Но чувак с дурацкой self xss на макдаке набрал больше плюсиков(
2. Портсекурити тут вообще ни при делах, но про него стоило упомянуть. Для защиты от подобного рода скриптов — https://github.com/hatRiot/zarp/blob/master/src/modules/dos/dhcp_starvation.py
3. Мучать днсмаск на какой то мыльнице это сильно. Были проверки и на нормальном железе — результат тот же, время ответа на DHCPDISCOVER от легитимного клиента значительно увеличивается.
4. Опций всего 256: 0 — Pad… 255 — End. https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
5. Клиенты кладут болт на все опции которые не запрашивали. Согласен, но некоторые клиенты, например NetworkManager из состава CentOS 6.5 готов обработать любую опцию которую ему прислал сервер.
6. Релей агенты на свичах с опцией 82 + дхцп сервер который имеет только статические привязки мак-ип. Полностью согласен.