DHCP Snooping技術(shù)
點擊上方“IT那活兒”公眾號,關(guān)注后了解更多內(nèi)容����,不管IT什么活兒,干就完了?���。?�!為了保證網(wǎng)絡(luò)通信業(yè)務(wù)的安全性�����,引入了DHCP Snooping技術(shù)�,在DHCP Client和DHCP Server之間建立一道防火墻,以抵御網(wǎng)絡(luò)中針對DHCP的各種攻擊��。DHCP Snooping是DHCP的一種安全特性��,用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址��。DHCP 服務(wù)器記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系��,防止網(wǎng)絡(luò)上針對DHCP攻擊。目前DHCP協(xié)議在應(yīng)用的過程中遇到很多安全方面的問題��,網(wǎng)絡(luò)中存在一些針對DHCP的攻擊���,如DHCP Server仿冒者攻擊��、DHCP Server的拒絕服務(wù)攻擊��、仿冒DHCP報文攻擊等����。DHCP Snooping主要是通過DHCP Snooping信任功能和DHCP Snooping綁定表實現(xiàn)DHCP網(wǎng)絡(luò)安全���。
DHCP無中繼工作原理:
- 發(fā)現(xiàn)階段:DHCP客戶端發(fā)送DHCP DISCOVER報文(廣播)來發(fā)現(xiàn)DHCP服務(wù)器��。DHCP DISCOVER報文中攜帶了客戶端的MAC地址(DHCP DISCOVER報文中的chaddr字段)�、需要請求的參數(shù)列表選項(Option55)��、廣播標(biāo)志位(DHCP DISCOVER報文中的flags字段�,表示客戶端請求服務(wù)器以單播或廣播形式發(fā)送響應(yīng)報文)等信息。
- 提供階段:服務(wù)器接收到DHCP DISCOVER報文后�,選擇跟接收DHCP DISCOVER報文接口的IP地址處于同一網(wǎng)段的地址池,并且從中選擇一個可用的IP地址�����,然后通過DHCP OFFER報文發(fā)送給DHCP客戶端。
- 請求階段:如果有多個DHCP服務(wù)器向DHCP客戶端回應(yīng)DHCP OFFER報文�,則DHCP客戶端一般只接收第一個收到的DHCP OFFER報文����,然后以廣播方式發(fā)送DHCP REQUEST報文,該報文中包含客戶端想選擇的DHCP服務(wù)器標(biāo)識符(即Option54)和客戶端IP地址(即Option50����,填充了接收的DHCP OFFER報文中yiaddr字段的IP地址)。以廣播方式發(fā)送DHCP REQUEST報文���,是為了通知所有的DHCP服務(wù)器���,它將選擇某個DHCP服務(wù)器提供的IP地址,其他DHCP服務(wù)器可以重新將曾經(jīng)分配給客戶端的IP地址分配給其他客戶端�����。
- 確認(rèn)階段:DHCP客戶端收到DHCP ACK報文�����,會廣播發(fā)送免費(fèi)ARP報文,探測本網(wǎng)段是否有其他終端使用服務(wù)器分配的IP地址����。
DHCP中繼接收到DHCP客戶端廣播發(fā)送的DHCP DISCOVER報文后,主要動作含:檢查DHCP報文中的giaddr字段�。DHCP報文中的giaddr字段標(biāo)識客戶端網(wǎng)關(guān)的IP地址。如果服務(wù)器和客戶端不在同一個網(wǎng)段且中間存在多個DHCP中繼�,當(dāng)客戶端發(fā)出DHCP請求時,第一個DHCP中繼會把自己的IP地址填入此字段�����,后面的DHCP中繼不修改此字段內(nèi)容����。DHCP服務(wù)器會根據(jù)此字段來判斷出客戶端所在的網(wǎng)段地址,從而為客戶端分配該網(wǎng)段的IP地址����。將DHCP報文的目的IP地址改為DHCP服務(wù)器或下一跳中繼的IP地址,源地址改為中繼連接客戶端的接口地址�,通過路由轉(zhuǎn)發(fā)將DHCP報文單播發(fā)送到DHCP服務(wù)器或下一跳中繼。
- 二層接入設(shè)備使能了DHCP Snooping功能后,從收到DHCP ACK報文中提取關(guān)鍵信息(包括PC的MAC地址以及獲取到的IP地址�、地址租期),并獲取與PC連接的使能了DHCP Snooping功能的接口信息(包括接口編號及該接口所屬的VLAN)��,根據(jù)這些信息生成DHCP Snooping綁定表��。
- 由于DHCP Snooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系���,故通過對報文與DHCP Snooping綁定表進(jìn)行匹配檢查����,能夠有效防范非法用戶的攻擊����。
4.1 餓死攻擊
攻擊原理:攻擊者持續(xù)大量地向DHCP Server申請IP地址����,直到耗盡DHCP Server地址池中的IP地址��,導(dǎo)致DHCP Server不能給正常的用戶進(jìn)行分配���。漏洞分析:DHCP Server向申請者分配IP地址時���,無法區(qū)分正常的申請者與惡意的申請者。解決方法:對于餓死攻擊���,可以通過DHCP Snooping的MAC地址限制功能來防止��。該功能通過限制交換機(jī)接口上允許學(xué)習(xí)到的最多MAC地址數(shù)目���,防止通過變換MAC地址,大量發(fā)送DHCP請求��。4.2 改變CHADDR值的dos攻擊
攻擊原理:攻擊者持續(xù)大量地向DHCP Server申請IP地址���,直到耗盡DHCP Server地址池中的IP地址�����,導(dǎo)致DHCP Server不能給正常的用戶進(jìn)行分配�����。漏洞分析:DHCP Server向申請者分配IP地址時�����,無法區(qū)分正常的申請者與惡意的申請者�。解決方法:為了避免受到攻擊者改變CHADDR值的攻擊,可以在設(shè)備上配置DHCP Snooping功能�����,檢查DHCP Request報文中CHADDR字段����。如果該字段跟數(shù)據(jù)幀頭部的源MAC相匹配��,轉(zhuǎn)發(fā)報文����;否則����,丟棄報文���。從而保證合法用戶可以正常使用網(wǎng)絡(luò)服務(wù)�。4.3 中間人攻擊
攻擊原理:攻擊者利用ARP機(jī)制�����,讓Client學(xué)習(xí)到DHCP Server IP與Attacker MAC的映射關(guān)系��,又讓Server學(xué)習(xí)到Client IP與Attacker Mac的映射關(guān)系��。如此一來���,Client與Server之間交互的IP報文都會經(jīng)過攻擊者中轉(zhuǎn)���。漏洞分析:從本質(zhì)上講,中間人攻擊是一種Spoofing IP/MAC攻擊����,中間人利用了虛假的IP地址與MAC地址之間的映射關(guān)系來同時欺騙DHCP的客戶端和服務(wù)器��。解決方法:為防御中間人攻擊與IP/MAC Spoofing攻擊�,可使用DHCP Snooping的綁定表工作模式��,當(dāng)接口接收到ARP或者IP報文����,使用ARP或者IP報文中的“源IP+源MAC”匹配DHCP Snooping綁定表。如果匹配就進(jìn)行轉(zhuǎn)發(fā)�,如果不匹配就丟棄。
[Switch] dhcp snooping enable ipv4
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] dhcp snooping enable
[Switch-GigabitEthernet0/0/3] dhcp snooping trusted
[Switch] dhcp snooping enable ipv4
[Switch] vlan 2
[Switch-vlan2] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] dhcp snooping trusted
執(zhí)行命令display dhcp snooping interface����,查看接口下的DHCP Snooping運(yùn)行信息。[Switch]display dhcp snooping interface GigabitEthernet 0/0/3
DHCP snooping running information for interface GigabitEthernet0/0/3 :
DHCP snooping : Enable
Trusted interface : Yes
Dhcp user max number : 1024 (default)
Current dhcp user number : 0
Check dhcp-giaddr : Disable (default)
Check dhcp-chaddr : Disable (default)
Alarm dhcp-chaddr : Disable (default)
Check dhcp-request : Disable (default)
Alarm dhcp-request : Disable (default)
----- more ------
這次分享DHCP Snooping����,一般企業(yè)局域網(wǎng)特別是無線連接都是采用DHCP自動獲取地址的方式訪問外網(wǎng)。這個時候局域網(wǎng)中的終端如果不慎感染病毒就可能出現(xiàn)��,DHCP Server仿冒者攻擊��、DHCP Server的拒絕服務(wù)攻擊���、仿冒DHCP報文攻擊等���,通過在二層交換機(jī)配置DHCP Snooping信任功能可以有效的實現(xiàn)DHCP網(wǎng)絡(luò)安全。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/129121.html
