交換網路安全防範系列二之DHCP攻擊的防範

技術小胖子發表於2017-11-16


2.1採用DHCP管理的常見問題:

  採用 DHCP server 可以自動為使用者設定網路 IP 地址、掩碼、閘道器、 DNS  WINS 等網路引數,簡化了使用者網路設定,提高了管理效率。但在 DHCP 管理使用上也存在著一些另網管人員比較問題,常見的有:
  • DHCP server 的冒充。
  • DHCP server  Dos 攻擊。
  • 有些使用者隨便指定地址,造成網路地址衝突。
  由於 DHCP 的運作機制,通常伺服器和客戶端沒有認證機制,如果網路上存在多臺 DHCP 伺服器將會給網路照成混亂。由於使用者不小心配置了 DHCP 伺服器引起的網路混亂非常常見,足可見故意人為破壞的簡單性。通常黑客攻擊是首先將正常的 DHCP 伺服器所能分配的 IP 地址耗盡,然後冒充合法的 DHCP 伺服器。最為隱蔽和危險的方法是黑客利用冒充的 DHCP 伺服器,為使用者分配一個經過修改的 DNS server ,在使用者毫無察覺的情況下被引導在預先配置好的假金融網站或電子商務網站,騙取使用者帳戶和密碼,這種攻擊是非常惡劣的。
  對於 DHCP server  Dos 攻擊可以利用前面將的 Port Security 和後面提到的 DAI 技術,這部分著重介紹 DHCP冒用的方法技術。
2.2DHCP Snooping技術概況
  DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping繫結表過濾不可信任的DHCP資訊,這些資訊是指來自不信任區域的DHCP資訊。DHCP Snooping繫結表包含不信任區域的使用者MAC地址、IP地址、租用期、VLAN-ID 介面等資訊,如下表所示:
MacAddress
IpAddress
Lease
Type
VLAN
Interface
00:0D:60:2D:45:0D
10.149.3.13
600735
dhcp-snooping
100
G1/0/7
  這張表不僅解決了 DHCP使用者的IP和埠跟蹤定位問題,為使用者管理提供方便,而且還供給動態ARP檢測DAIIP Source Guard使用。
  Dhcp-snooping將交換機上的埠分為信任埠和不信任埠,對於不信任埠的 DHCP 報文進行截獲和嗅探, DROP 掉來自這些埠的非正常 DHCP 報文,如下圖所示: 
2.3 配置
IOS 全域性命令:
ip dhcp snooping vlan 100,200 /* 定義哪些 VLAN 啟用 DHCP 嗅探
ip dhcp snooping /*啟用DHCP-SNOOPING功能
ip dhcp snooping database tftp:// 10.1.1 .1/directory/file/*匯出 DHCP 繫結表到 TFTP 伺服器。
需要注意的是 DHCP 繫結表要存在本地存貯器 (Bootfalsh  slot0  ftp  tftp) 或匯出到指定TFTP伺服器上,否則交換機重啟後DHCP繫結表丟失,對於已經申請到IP地址的裝置在租用期內,不會再次發起DHCP請求,如果此時交換機己經配置了下面所講到的DAIIP Source Guard技術,這些使用者將不能訪問網路。
介面命令:
ip dhcp snooping trust /*定義該介面為信任埠
ip dhcp snooping limit rate 10  /* 定義DHCP報文的傳送率,一定程度上防止 DHCP 拒絕服務攻擊
2.4高階防範
  通過交換機的埠安全性設定每個DHCP請求指定埠上使用唯一的MAC地址,通常DHCP伺服器通過DHCP請求的報文中的CHADDR段判斷客戶端MAC地址,通常這個地址和客戶端的真是IP相同,但是如果攻擊者不修改客戶端的MAC而修改DHCP報文中CHADDR,實施Dos攻擊,Port Security就不起作用了,DHCP嗅探技術可以檢查DHCP請求報文中的CHADDR欄位,判斷該欄位是否和DHCP嗅探表相匹配。這項功能在有些交換機是預設配置的,有些交換機需要配置,具體需要參考相關交換機的配置文件。



    本文轉自hexianguo 51CTO部落格,原文連結:http://blog.51cto.com/xghe110/90867,如需轉載請自行聯絡原作者




相關文章