任务二 DHCP欺骗劫持与防御策略

已于 2023-10-13 16:15:28 修改
阅读量190 收藏 1
点赞数
分类专栏: 网络安全设备配置 文章标签: 网络安全
于 2023-10-13 16:14:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GDL1411983801/article/details/133787954
版权
本文详细介绍了DHCP欺骗的原理,如何在华为路由器上配置DHCP服务和监听,以及防御DHCP欺骗的策略,包括交换机的DHCPsnooping配置。同时,涉及了验证过程和常见误区,如防病毒软件对DHCP欺骗的无效性。
摘要由CSDN通过智能技术生成

任务二 DHCP欺骗劫持与防御策略

一、任务目的

掌握DHCP的欺骗原理与DHCP监听配置

二、任务设备、设施

Win10、华为ENSP、VMware、Win7、Typora

三、任务拓扑结构图

在这里插入图片描述

四、基本配置

1.接口IP与默认路由配置

(1)R1

<Huawei>system-view

[Huawei]sysname R1
[R1]undo info-center enable
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 192.168.1.0
[R1-rip-1]network 192.168.2.0
[R1-rip-1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.2

(2)R2

<Huawei>system-view

[Huawei]sysname R2
[R2]undo info-center enable
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 172.16.1.1 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface Serial 2/0/0
[R2-Serial2/0/0]ip address 202.116.64.1 24
[R2-Serial2/0/0]quit
[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.2.0
[R2-rip-1]network 172.16.0.0
[R2-rip-1]quit
[R2]ip route-static 0.0.0.0 0.0.0.0 Serial 2/0/0

(3)R3

<Huawei>system-view
[Huawei]sysname R3
[R3]undo info-center enable
[R3]interface Serial 2/0/0
[R3-Serial2/0/0]ip address 202.116.64.2 24
[R3-Serial2/0/0]quit
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip address 203.203.100.1 24
[R3-GigabitEthernet0/0/0]quit

2.路由器R2 Easy-IP设置

[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R2-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
[R2-acl-basic-2000]quit
[R2]interface Serial 2/0/0
[R2-Serial2/0/0]nat outbound 2000
[R2-Serial2/0/0]quit

3.配置R2路由器DHCP服务,给技术部和工程部主机分配IP地址

(1)R2

[R2]dhcp enable
[R2]ip pool jishu
[R2-ip-pool-jishu]network 192.168.1.0 mask 24
[R2-ip-pool-jishu]gateway-list 192.168.1.1
[R2-ip-pool-jishu]dns-list 192.168.2.254
[R2-ip-pool-jishu]excluded-ip-address 192.168.1.2 192.168.1.9
[R2-ip-pool-jishu]quit
[R2]ip pool gongcheng
[R2-ip-pool-gongcheng]network 172.16.1.0 mask 24
[R2-ip-pool-gongcheng]gateway-list 172.16.1.1
[R2-ip-pool-gongcheng]dns-list 192.168.2.254
[R2-ip-pool-gongcheng]excluded-ip-address 172.16.1.2 172.16.1.9
[R2-ip-pool-gongcheng]quit
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]dhcp select global
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]dhcp select global
[R2-GigabitEthernet0/0/1]quit

(2)R1

[R1]dhcp enable [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]dhcp select relay [R1-GigabitEthernet0/0/0]dhcp relay server-ip 192.168.2.2 [R1-GigabitEthernet0/0/0]quit

4.配置百度服务器HttpServer

在这里插入图片描述

5.配置DNS Server

在这里插入图片描述

6.基本配置验证

(1)PC2

在这里插入图片描述

(2)PC1

在这里插入图片描述

五、入侵实战

1.网络拓扑结构图

2.伪造DHCP服务器R4配置

<Huawei>system-view 
[Huawei]sysname R4
[R4]interface GigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]ip address 192.168.1.9 24
[R4-GigabitEthernet0/0/0]quit 
[R4]undo info-center enable 
[R4]dhcp enable 
[R4]ip pool forget
[R4-ip-pool-forget]network 192.168.1.0 mask 24
[R4-ip-pool-forget]gateway-list 192.168.1.1
[R4-ip-pool-forget]dns-list 192.168.1.8
[R4-ip-pool-forget]quit 
[R4]interface GigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]dhcp select global 
[R4-GigabitEthernet0/0/0]quit

3.伪造DNS服务器配置

在这里插入图片描述

4.验证入侵结果

在这里插入图片描述

六、防御策略

1、交换机SW1的配置

<Huawei>system-view 
[Huawei]sysname SW1
[SW1]undo info-center enable 
[SW1]dhcp enable 
[SW1]dhcp snooping enable 
[SW1]dhcp snooping enable vlan 1
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]dhcp snooping trusted
[SW1-GigabitEthernet0/0/3]quit

2.任务验证

(1)IP地址更新
在这里插入图片描述

(2)DNS服务器更新
在这里插入图片描述

七、任务总结

(1)启用DHCP监听功能的前提是开启DHCP服务

(2)在路由器上可以开启DHCP服务,但是无法启用DHCP监听功能,只有在交换机上才可以启用DHCP监听功能

(3)如果在DHCP监听区域含多个Vlan,命令如dhcp snooping enable vlan 10 20 30。如果Vlan连续,命令如dhcp snooping enable vlan 1 to 5。

(4)计算机DNS缓存不会立刻刷新,需等待一段时长,如需手动刷新,可运行命令为ipconfig/flushdns。

(5)DHCP欺骗劫持不属于病毒木马,不能通过安装防病毒软件达到防范效果。

n,命令如dhcp snooping enable vlan 10 20 30。如果Vlan连续,命令如dhcp snooping enable vlan 1 to 5。**

(4)计算机DNS缓存不会立刻刷新,需等待一段时长,如需手动刷新,可运行命令为ipconfig/flushdns。

(5)DHCP欺骗劫持不属于病毒木马,不能通过安装防病毒软件达到防范效果。

不会打ctf
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第三章 DHCP攻击防御
OneZeRoXd的博客
11-04 851
DHCP的基本DHCP可以分IP地址、网关以及DNS服务器。 DHCP服务器与客户端之间要设置租约,租约一到分出去的地址收回,不过可以续约。 DHCP服务器要设置地址池,用来指定要分的地址范围,地址池中的部分不向外分 在交换机上DHCP 启用DHCP功能: DCRS(config)#server DHCP 创建名为test的地址池,并进入地址池的局部置模式: DCRS(conf...
DHCP攻击防御
weixin_46168073的博客
10-04 1178
置文档:SW2 Switch>en Switch# Switch#conf Switch#configure Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostn SW2 ---à改交换机名为SW2 SW2(config)#v...
DHCP欺骗劫持防御策略
10-07
DHCP欺骗劫持防御策略
任务DHCP欺骗劫持防御策略
2301_76274559的博客
10-12 1536
DHCP欺骗劫持防御策略
我是怎么莫名地劫持了自己的 DHCP
云原生实验室
08-21 771
Docker 技术鼻祖系列1. DNS 抢答我们都知道,传统的 DNS 走的是 UDP 协议,在大陆的网络环境下,DNS 请求是可以被抢答的,不信你看:#美西的机器 root@pf:~...
如何防御DHCP攻击
最新发布
weixin_73134956的博客
02-02 1203
2. 使用DHCP Snooping:DHCP Snooping是一种网络安全机制,可以在交换机上设置,用于验证和过滤通过交换机的DHCP消息。它可以验证DHCP消息的源IP地址和MAC地址信息,确保只有合法的DHCP服务器才能提供IP地址分DHCP(动态主机置协议)攻击是一种网络攻击方式,攻击者通过篡改或伪造DHCP请求和响应消息,来获取目标网络中的IP地址、网关和DNS服务器等置信息,甚至获取到未经授权的网络连接。这样可以确保只有经过授权的设备可以接入网络,防止未经授权的设备进行DHCP攻击
计算机网络——DHCP协议详解
Boom!脑洞大爆炸的博客
06-20 7123
由浅入深理解DHCP协议
DHCP欺骗防御实验.docx
10-06
DHCP欺骗防御实验 DHCP欺骗是指攻击者伪造DHCP服务器,欺骗客户端获取虚假的IP地址、子网掩码、默认网关和DNS服务器地址等网络置信息,从而控制客户端的网络流量。因此,DHCP欺骗是一种常见的网络攻击手段。 ...
DHCP欺骗实验报告过程
03-20
DHCP欺骗实验报告过程 ...* 在网络安全领域中,我们需要加强对DHCP欺骗攻击防御和检测能力。 DHCP欺骗攻击实验结果表明了这种攻击方式的危险性和可能性,并强调了我们需要采取相应的安全措施来防止这种攻击
网络安全】【DHCP_攻击防御
06-09
DHCP攻击防御,使用交换机的DHCP监听功能增强网络安全性!
DHCP服务器的搭建与置.docx
07-13
DHCP(Dynamic Host Configuration Protocol)服务器的搭建与置是网络管理员在企业环境中常见的任务,它主要用于自动分IP地址、子网掩码、默认网关等TCP/IP参数,从而简化网络管理,避免IP地址冲突,提高效率。...
CVE-2018-1111 劫持dhcp造成Redhat、centos代码执行
weixin_30711917的博客
05-18 128
原文地址:https://www.o2oxy.cn/975.html 前言: 看到crazy 老哥说有一个好新的漏洞。可以在redhat 和centos 执行任意代码 、 我说这就很有意思了。晚上来看看 他分享了一下他写的博客。看了下。进入tools 看了下这个文章,仔细的看了下, 很有意思。有意思 漏洞概述通过伪造DHCP服务器发送响应包,攻击红帽系统,获取root权限并执行任意命令。 ...
DHCP攻击防御
qq_43518594的博客
10-15 1万+
DHCP攻击 原理: DHCP攻击针对的目标是网络中的DHCP服务器,原理是耗尽DHCP服务器所有的IP地址资源,使其无法正常提供地址分服务。然后在网络中再架设假冒的DHCP服务器为客户端分发IP地址,从而来实现中间人攻击DHCP工作过程: 工作过程分为四个阶段 发现阶段:首先客户端广播发送DHCP Discover报文来寻找DHCP服务器。 提供阶段:DHCP服务器接收到DHCP Discover报文后,查看自己的地址池中是否有可用地址,如果有,会在这个IP上做一个标记,并用DHCP Offer报
DHCP安全威胁
NightChenRight的博客
09-26 1869
isis: 集成 clnp 和 ip 工作在数据链路层 第一部: 建立邻居关系 -----(hello报文、RID 等) 同步数据库 ----- (dd/lsr/lsu/lsack) 计算路由表 ----- (spf算法)disktra? ospf:只支持ip 工作在网络层 ...
DHCP安全评估--dhcpig
热门推荐
煜铭2011
06-22 1万+
0x00前言 0x01 下载安装 0x02 使用示例 欢迎大家分享更好的思路,热切期待^^_^^ !!!
DHCP (DOS)攻击
千尺浪的博客
12-15 6472
DHCP (DOS)攻击 攻击方案设计 DHCP DOS原理很简单,就是大量伪造DHCP申请包,获取大量IP地址,是dhcp地址获取枯竭,其他正常pc无法获取ip地址,可以在RHEL在使用dhcpstarv发起攻击DHCP服务器搭建   DHCP (Client)验证 DOS攻击 开始攻击 如果用虚拟机做攻击时要把虚拟网卡设置成混杂模式 攻
DHCP攻击原理及防护
kuaizai__的博客
03-03 2451
DHCP攻击dhcp这个协议而言,共存在4中包 discover office requrst ack 但是由于没有确认机制,就透出了安全漏洞。 安全漏洞: 1.
校园网ARP攻击防御策略DHCP监控与认证方式详解
ARP(地址解析协议)是网络通信中一种...总结来说,理解和实施这些ARP攻击防御策略对于保护校园网络免受恶意攻击至关重要,通过合理的网络架构和置,可以有效抵御各种类型的ARP攻击,保障网络稳定性和用户数据安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值