来源:蜘蛛抓取(WebSpider)
时间:2018-06-25 21:24
标签:
dhcp中间人攻击
防止DHCP Server仿冒者攻击导致用户获取错误的IP地址和网络参数防止DHCP Server仿冒者攻击导致用户获取错误的IP地址和网络参数技术先锋百家号攻击原理由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。如图1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。图1 DHCP Client发送DHCP Discover报文示意图如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS(Domain Name System)服务器、错误的IP等信息,如图2所示。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。图2 DHCP Server仿冒者攻击示意图解决方法为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。如图3所示。图3 Trusted/Untrusted工作模式示意图配置举例配置DHCP Snooping的攻击防范功能示例组网图形图1 配置DHCP Snooping的攻击防范功能组网图图1 配置DHCP Snooping的攻击防范功能组网图组网需求如图1所示,SwitchA与SwitchB是二层交换机,SwitchC是用户网关,作为DHCP Relay向DHCP服务器转发DHCP报文,使得DHCP客户端可以从DHCP服务器上申请到IP地址等相关配置信息。然而网络中可能会存在针对DHCP的攻击,例如:·DHCP Server仿冒者攻击:在网络上随意添加一台DHCP服务器,它可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。·DHCP报文泛洪攻击:若攻击者短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。·仿冒DHCP报文攻击:如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址;而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。·DHCP Server服务拒绝攻击:当存在大量攻击者恶意申请IP地址或者某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址,会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。为了为DHCP用户提供更优质的服务,网络管理员可以通过配置DHCP Snooping功能,实现DHCP攻击防范。配置思路通过在DHCP Relay配置DHCP Snooping进行攻击防范:1.配置DHCP功能,实现SwitchC转发不同网段的DHCP报文给DHCP服务器。2.配置DHCP Snooping的基本功能,防止DHCP Server仿冒者攻击。同时可以使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。还可以配置丢弃GIADDR字段非零的DHCP报文,防止非法用户攻击。3.配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。同时可以使能丢弃报文告警功能,当丢弃的DHCP报文数达到告警阈值时产生告警信息。4.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。同时可以使能与绑定表不匹配而被丢弃的DHCP报文数达到阈值时产生告警信息功能。5.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。同时可以使能数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时产生告警信息功能。本例仅涉及交换机SwitchC的配置。关于DHCP服务器的配置,本例中不予以详细介绍,只给出需要的步骤描述。操作步骤1.配置DHCP功能。# 在DHCP Relay设备上配置DHCP功能。 system-view[HUAWEI] sysname SwitchC[SwitchC] dhcp server group dhcpgroup1[SwitchC-dhcp-server-group-dhcpgroup1] dhcp-server 10.2.1.2[SwitchC-dhcp-server-group-dhcpgroup1] quit[SwitchC] vlan batch 10 100[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] port link-type access[SwitchC-GigabitEthernet0/0/1] port default vlan 10[SwitchC-GigabitEthernet0/0/1] quit[SwitchC] interface gigabitethernet 0/0/2[SwitchC-GigabitEthernet0/0/2] port link-type access[SwitchC-GigabitEthernet0/0/2] port default vlan 10[SwitchC-GigabitEthernet0/0/2] quit[SwitchC] interface gigabitethernet 0/0/3[SwitchC-GigabitEthernet0/0/3] port link-type access[SwitchC-GigabitEthernet0/0/3] port default vlan 100[SwitchC-GigabitEthernet0/0/3] quit[SwitchC] dhcp enable[SwitchC] interface vlanif 10[SwitchC-Vlanif10] ip address 192.168.1.1 255.255.255.0[SwitchC-Vlanif10] dhcp select relay[SwitchC-Vlanif10] dhcp relay server-select dhcpgroup1[SwitchC-Vlanif10] quit[SwitchC] interface vlanif 100[SwitchC-Vlanif100] ip address 10.1.1.2 255.255.255.0[SwitchC-Vlanif100] quit[SwitchC] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1# DHCP服务器IP地址配置为10.2.1.2/24,同时配置一个IP地址范围为192.168.1.0/24的地址池,地址池中网关配置为192.168.1.1。2.使能DHCP Snooping基本功能。# 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable[SwitchC-GigabitEthernet0/0/1] quit# 使能ARP与DHCP Snooping的联动功能。[SwitchC] arp dhcp-snooping-detect enable# 使能检测DHCP Request报文中GIADDR字段是否非零的功能。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-giaddr enable[SwitchC-GigabitEthernet0/0/1] quit3.配置DHCP报文上送DHCP报文处理单元的最大允许速率并使能丢弃报文告警功能。# 配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。[SwitchC] dhcp snooping check dhcp-rate enable[SwitchC] dhcp snooping check dhcp-rate 90# 使能丢弃报文告警功能,并配置报文限速告警阈值。[SwitchC] dhcp snooping alarm dhcp-rate enable[SwitchC] dhcp snooping alarm dhcp-rate threshold 5004.使能对DHCP报文进行绑定表匹配检查的功能并使能与绑定表不匹配而被丢弃的DHCP报文数达到阈值时产生告警信息功能。# 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 120[SwitchC-GigabitEthernet0/0/1] quit5.配置接口允许接入的最大用户数并使能对CHADDR字段检查功能,同时使能数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时产生告警信息功能。# 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 20[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 120[SwitchC-GigabitEthernet0/0/1] quit6.验证配置结果# 执行命令display dhcp snooping configuration,查看DHCP Snooping的配置信息。[SwitchC] display dhcp snooping configuration#dhcp snooping enable ipv4dhcp snooping check dhcp-rate enabledhcp snooping check dhcp-rate 90dhcp snooping alarm dhcp-rate enabledhcp snooping alarm dhcp-rate threshold 500arp dhcp-snooping-detect enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping max-user-number 20#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping max-user-number 20## 执行命令display dhcp snooping interface,查看接口下的DHCP Snooping运行信息。可以看到Check dhcp-giaddr、Check dhcp-chaddr和Check dhcp-request字段都为Enable。以接口GE0/0/1的回显为例:[SwitchC] display dhcp snooping interface gigabitethernet 0/0/1DHCP snooping running information for interface GigabitEthernet0/0/1 :DHCP snooping : EnableTrusted interface : NoDhcp user max number : 20Current dhcp and nd user number : 0Check dhcp-giaddr : EnableCheck dhcp-chaddr : EnableAlarm dhcp-chaddr : EnableAlarm dhcp-chaddr threshold : 120Discarded dhcp packets for check chaddr : 0Check dhcp-request : EnableAlarm dhcp-request : EnableAlarm dhcp-request threshold : 120Discarded dhcp packets for check request : 0Check dhcp-rate : Disable (default)Alarm dhcp-rate : Disable (default)Alarm dhcp-rate threshold : 500Discarded dhcp packets for rate limit : 0Alarm dhcp-reply : Disable (default)配置文件# SwitchC的配置文件#sysname SwitchC#vlan batch 10 100#dhcp enable#dhcp snooping enable ipv4dhcp snooping check dhcp-rate enabledhcp snooping check dhcp-rate 90dhcp snooping alarm dhcp-rate enabledhcp snooping alarm dhcp-rate threshold 500arp dhcp-snooping-detect enable#dhcp server group dhcpgroup1dhcp-server 10.2.1.2 0#interface Vlanif10ip address 192.168.1.1 255.255.255.0dhcp select relaydhcp relay server-select dhcpgroup1#interface Vlanif100ip address 10.1.1.2 255.255.255.0#interface GigabitEthernet0/0/1port link-type accessport default vlan 10dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping max-user-number 20#interface GigabitEthernet0/0/2port link-type accessport default vlan 10dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping max-user-number 20#interface GigabitEthernet0/0/3port link-type accessport default vlan 100#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#return本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。技术先锋百家号最近更新:简介:中国领先的即时信息技术网站作者最新文章相关文章如何使用DHCP snooping技术防御网络攻击_百度知道
如何使用DHCP snooping技术防御网络攻击
我有更好的答案
企业内部访问者与外部访问者的数量在不断变化,这增大了它所面对的安全威胁,而且内外访问的界线也在逐渐模糊。如果一个组织在设计网络架构时加入了不安全的系统和协议,那么网络基础架构就可能有风险。例如,有时候一些2层协议的安全性就被忽视了,如动态主机配置协议(DHCP)。DHCP是一种辅助协议,它工作在后台,大多数用户都不会注意到它的存在。事实上,这种没有得到重视的情况就意味着供应商也可能会忽略这种攻击。DHCP
snooping就是一种可用于防御许多常见攻击的防控技术。DHCP可能受到几种不同方式的攻击,其中包括恶意DHCP服务器或本地交换网络的地址解析协议(ARP)污染。并非所有意外事件都属于恶意攻击。举个例子来说,一位最终用户可能连接了一个启用DHCP的网络设备或路由器,结果就可能给其他用户分配一个无效的DHCP地址。另外,攻击者也可能发起了一个资源耗尽的攻击,并且尝试用光所有的DHCP地址。危害更大的方法是,攻击者会主动尝试重定向用户的DHCP服务器请求。当然,这些只是促使您使用DHCP
snooping技术的一部分原因。这种中间人攻击的机制要求攻击者创建自己的DHCP服务器。接下来,攻击者会广播伪造的DHCP请求,并且尝试用光DHCP范围内的所有DHCP地址。结果,合法用户就无法从DHCP服务器获得或更新IP地址。然后,攻击者就开始用它的欺骗性DHCP服务器分配所抢占的DHCP地址,使它的地址成为新的网关。接收到这些地址的最终用户就可能被重定向到攻击者,然后再通向互联网。这样它就盗用了网络连接。上面的场景只是经典中间人攻击的另一种变化。这种技术需要将攻击者置于所攻击网络内部,从而让他能够窥探客户流量。或许您会认为这种攻击并不可怕,但是现在已经出现了许多专门发起这些攻击的工具,如Gobbler、DHCPstarv和Yersinia。在现有交换机上创建DHCP snoopingDHCP
snooping是通过现有交换机在数据链路层实现的,它可以对抗攻击,阻挡未授权DHCP服务器。它使2层协议交换机能够检测从特定端口接收的数据帧,然后检查它们是否来自合法的DHCP服务器。这个2层处理过程包括几个步骤。首先,您需要在交换机上启用全局DHCP,然后再在各个虚拟LAN(VLAN)上启用DHCP
snooping。最后,您还必须配置各个可信端口。下面是一个启用DHCP SNOOPING的例子:Switch(config)#ip dhcp snoopingSwitch(config)#ip dhcp snooping vlan 30Switch(config)#interface gigabitethernet1/0/1Switch(config-if)#ip dhcp snooping trust在这个例子中,交换机启用了全局DHCP snooping,然后再为VLAN 30启用DHCP
snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP
snooping可以帮助保证主机只使用分配给它们的IP地址,并且验证只能访问授权的DHCP服务器。在实现之后,DHCP
snooping就会丢弃来自未可信DHCP服务器的DHCP消息。使用DHCP snooping防止ARP缓存污染DHCP snooping还可以跟踪主机的物理位置,从而可以防御(ARP)缓存污染攻击。它在防御这些攻击的过程中发挥重要作用,因为您可以使用DHCP
snooping技术丢弃一些来源与目标MAC地址不符合已定义规则的DHCP消息。管理会收到通过DHCP snooping警报通知的违规行为。当DHCP
snooping服务检测到违规行为时,它会在系统日志服务器上记录一条消息“DHCP Snooping”。DHCP
snooping是实现2层协议流量安全性的第一步。恶意DHCP服务器不仅会导致网络问题,它们还可以被攻击者用于转发敏感流量和发起中间人攻击。如果还没有做好这些措施,那么一定要考虑实现这些防御措施,保证网络基础架构的安全性。
为您推荐:
其他类似问题
您可能关注的内容
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。宽带危机之 dhcp攻击
[问题点数:20分,结帖人alter_ck]
本版专家分:0
CSDN今日推荐
本版专家分:0
本版专家分:0
本版专家分:0
本版专家分:0
2001年6月 专题开发/技术/项目大版内专家分月排行榜第一
本版专家分:0
本版专家分:0
2001年6月 专题开发/技术/项目大版内专家分月排行榜第一
本版专家分:0
匿名用户不能发表回复!|
CSDN今日推荐关于DHCP服务攻击的安全防护策略部署--《计算机安全》2014年12期
关于DHCP服务攻击的安全防护策略部署
【摘要】:DHCP协议虽然最为一种常见的网络服务被广泛应用在许多场合中,但DHCP本身不存在任何安全机制,会被攻击者利用,产生严重的网络安全问题。深入介绍和分析各种DHCP攻击方式的过程,并提出相应的防御和解决方法。
【作者单位】:
【分类号】:TP393.08
欢迎:、、)
支持CAJ、PDF文件格式,仅支持PDF格式
【参考文献】
中国期刊全文数据库
高顾君;;[J];科技信息;2011年09期
【共引文献】
中国期刊全文数据库
张梁斌;俞华丰;高昆;;[J];实验技术与管理;2014年10期
李永飞;;[J];信息系统工程;2012年10期
中国硕士学位论文全文数据库
信朝霞;[D];西北农林科技大学;2013年
【相似文献】
中国期刊全文数据库
汪精明,赵晓峰;[J];天中学刊;2003年05期
樊景博;[J];商洛师范专科学校学报;2003年04期
刘联海,周德新;[J];信息技术;2004年08期
任凤姣,王洪,贾卓生;[J];计算机工程;2004年17期
王源;;[J];福建电脑;2006年06期
王勇;徐蕾;;[J];开封教育学院学报;2006年04期
白兴瑞;;[J];龙岩学院学报;2007年03期
文江波;白英彩;;[J];计算机应用与软件;2007年08期
樊滨温;崔志强;;[J];计算机应用与软件;2007年11期
雷明彬;;[J];商场现代化;2007年32期
中国重要会议论文全文数据库
姚正;;[A];全国第21届计算机技术与应用学术会议(CACIS·2010)暨全国第2届安全关键技术与应用学术会议论文集[C];2010年
刘浏;陈晓梅;;[A];第27次全国计算机安全学术交流会论文集[C];2012年
李华亮;魏斌;;[A];2013年中国通信学会信息通信网络技术委员会年会论文集[C];2013年
中国重要报纸全文数据库
大黄;[N];中国电脑教育报;2004年
蓝狼;[N];中国电脑教育报;2002年
;[N];中国电脑教育报;2002年
大黄;[N];中国电脑教育报;2004年
淮河水手;[N];中国电脑教育报;2004年
阿才;[N];中国电脑教育报;2003年
冀卫锋;[N];中国电脑教育报;2003年
李娟;[N];网络世界;2001年
陈立明;[N];电脑报;2003年
冀卫锋;[N];电脑报;2004年
中国硕士学位论文全文数据库
周桂馨;[D];大连海事大学;2008年
李莉敏;[D];西北工业大学;2005年
万春艳;[D];浙江大学;2007年
陈丽君;[D];北京邮电大学;2008年
林泽东;[D];山东科技大学;2011年
刘海燕;[D];西北工业大学;2006年
罗江涛;[D];西安电子科技大学;2007年
李林;[D];兰州大学;2011年
张琦;[D];华中科技大学;2011年
王威;[D];华中科技大学;2011年
&快捷付款方式
&订购知网充值卡
400-819-9993扫一扫体验手机阅读
DHCP spoofing ***及防范
<span type="1" blog_id="1599835" userid='
88篇文章,14W+人气,0粉丝
高并发架构之路
¥51.0026人订阅
前百度高级工程师的架构高可用实战
¥51.00222人订阅
<span type="1" blog_id="1599835" userid='
