非法DHCP server 檢測？開玩笑~

近期有個專案，負責為某單位建設態勢感知平臺，專案中除基本態勢感知功能外還有3個定製需求，今天就針對其中的一個進行分享~

需求：檢測接入到網路當中的非法DHCP server（這裡的DHCP server主要針對無線路由器，當然還可以預防一定的中間人攻擊）

 

為什麼要有這樣的需求呢？

客戶現場某內網終端統一採用DHCP方式獲取IP，且網路規模較大，且分散，網路結構為核心層、匯聚層、接入層，因客戶現場都為不懂技術的普通員工，私接無線路由器的事時有發生。

據瞭解DHCP server配置在匯聚交換機上。

 

售前給出的方案是通過流量探針對映象流量進行處理，把生成的日誌傳送給態勢感知平臺，態勢感知平臺同過配置告警規則就可以得出是否有非法DHCP server接入到網路中。

好像上面方案針對需求沒毛病，但是。。。

 

在這裡不得不吐槽，當方案到我手裡的時候已經距離計劃驗收剩3個星期了，看到方案我整個心態炸了，一方面是新版探針不支援解析dhcp資料包，二是探針處理的是核心交換的流量，根本檢測不到匯聚和接入交換的流量，

 

情況反饋專案經理，一方是是協調產品線去加班加點開發相應功能，二是反饋dhcp檢測範圍，專案經理給出的解決方案是功能具備，到時候就建議客戶多買探針（本人感覺這種說法很逗，客戶也不是傻子，雖然不是很懂技術，但客戶對自己的需求很明確）

 

就這樣一個星期功能開發完畢，對接態勢感知完成，核心倒是檢測到一部分dhcp服務但不多

 

本來打算一直隱瞞到專案驗收階段，可是紙包不住火，客戶想測試一下，沒辦法，只好和客戶坦白，不過在坦白之前我已經想好對策，就是建議客戶從交換機上入手，配置dhcp snooping直接可以阻斷非法DHCP server，並建議客戶很多問題可以從交換機上入手，雖然公司定製開發團隊很厲害，但是有些違背基礎原理的還是無法實現的

 

索性客戶比較好說話，讓我協助進行測試，再找整合商的進行刷配置

 

首先在核心上測試了接入無線路由，可以檢測到無線路由器，併產生了相應告警

 

接著在接入交換機上測試開啟dhcp snooping功能，的確可以成功阻斷該dhcp server

 

但是目前的配置只是阻斷了，交換機上沒有產生對應日誌，後來諮詢華三後得知一條命令就可以產生該日誌（這裡不得不吐槽華三400，你必須得有在維保內的序列號才可以諮詢。。。）

 

就這樣，非法DHCP server 檢測危機過去了。。。

 

DHCP

# 全域性開啟DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp snooping enable

# 設定GigabitEthernet1/0/1埠為信任埠。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 在GigabitEthernet1/0/2上開啟DHCP Snooping表項功能。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/2] quit

 

dhcp snooping binding record命令用來啟用埠的DHCP Snooping表項記錄功能（據華三廠家介紹開啟該功能即可產生阻斷日誌，當然前提還得配置好syslog轉發功能）

 

關於通過流量監測識別dhcp server的方式可以參考：https://blog.csdn.net/killmice/article/details/53007476中的“DHCP報文型別”那些資料包是dhcp server向dhcp client傳送的就可以通過配置規則實現dhcp server發現。

文章中如有不足之處歡迎指出，最後希望銷售，售前，專案經理，工程師可以和諧相處，實現客戶成功~