DHCP snooping、DHCP安全及威胁防范

于 2024-03-26 11:44:04 发布
阅读量1.2k 收藏 9
点赞数 20
分类专栏: DHCP 网络 DHCP攻击 文章标签: 网络 运维 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Noel_Xie/article/details/137041599
版权
网络 同时被 3 个专栏收录
70 篇文章 1 订阅
订阅专栏
DHCP
3 篇文章 0 订阅
订阅专栏
DHCP攻击
1 篇文章 0 订阅
订阅专栏
本文详细介绍了DHCPsnooping的工作原理,包括其在交换机上的启用方法,以及针对DHCP饿死攻击、伪造报文攻击、泛洪攻击和中间人攻击的防御措施。着重讨论了信任与非信任接口的概念以及相应的配置方法。
摘要由CSDN通过智能技术生成

DHCP snooping、DHCP安全及威胁防范

[SW1]display dhcp snooping user-bind all,查看DHCP snooping表项。

DHCP snooping:

表项是通过服务器发送给客户端的ACK报文生成的。

只能在交换机上开启,路由器不支持,并且建议在接入交换机开启(汇聚和核心交换机开启没有意义)

主要原理:当DHCP服务器给客户端回复ACK报文时,会在交换机连接终端的接口生成snooping表项。

snooping表项包含:MAC地址,IP地址,接口编号,VLAN-ID,租期信息。

snooping表项的老化时间根据租期而定,同时如果终端发送释放报文那么绑定表也会随之删除。

书签-DHCP主要的攻击方式:

一、DHCP饿死攻击:攻击者伪装成主机向DHCP Server服务器请求IP分配,耗尽服务器的地址池地址,是的正常PC无法请求到可以使用的IP。

1、防御饿死攻击:

可以通过开启DHCP请求消息中数据链路层MAC地址和报文中CHADDR字段一致性检查,如果不一致就会认为是攻击,丢弃该报文。

[SW1]dhcp enable //首先,全局使能DHCP功能

[SW1]dhcp snooping enable //全局使能DHCP Snooping功能

[SW1-GigabitEthernet0/0/1]dhcp snooping enable //接口下使能DHCP snooping功能

[SW1-vlan1]dhcp snooping enable //在vlan视图下使能DHCP snooping,即在该vlan下的所有接口都使能

[SW1-GigabitEthernet0/0/1]dhcp snooping check dhcp-chaddr enable //开启chaddr一致性检查

如何判断发生了饿死攻击:可以通过检查DHCP服务器地址池分配是否存在异常来判断是否发生了饿死攻击!!!

防御变异的饿死攻击:

对于攻击者将帧源MAC和CHADDR的MAC同时修改的场景,一致性检查无效,实际该场景没有预防措施。

对于这种场景我们可以通过限制接口snooping表项数量来控制。

[SW1-GigabitEthernet0/0/1]dhcp snooping max-user-number 1~1024个;//限制该接口学习snooping表项的数量

2、DHCP客户端伪造DHCP报文攻击:

攻击者仿冒合法用户发送request报文续租IP导致IP无法被正常回收,久而久之,将没有空闲IP分配给合法终端;

攻击者仿冒合法用户发送release报文释放IP地址,导致合法用户异常下线。

[SW1-GigabitEthernet0/0/1]dhcp snooping check dhcp-request enable //开启DHCP请求消息与绑定表匹配查询。

3、非DHCP客户端伪造DHCP报文攻击:

[SW1-GigabitEthernet0/0/1]dhcp snooping sticky-mac,//开启设备基于DHCP snooping表项粘滞功能的MAC地址表学习机制,默认关闭MAC地址表学习功能,且报文不予转发。

功能相似:[SW1-GigabitEthernet0/0/1]mac-address learning disable action discard;

特别注意:一旦配置这条命令,这个接口就只能连接DHCP客户端,对于静态IP配置的终端无法进行通讯。

4、DHCP报文泛洪攻击:

[SW1]DHCP snooping check dhcp-rate enable //全局开启接口处理DHCP报文的频率功能。用来防止PC一秒钟发送成千上万次的正常的DHCP请求

[SW1]dhcp snooping check dhcp-rate 1~100 //每秒钟处理1~100和DHCP数据包

5、仿冒DHCP Server攻击:

私接路由器等设备,成为假的DHCP Server给同网络的终端分配地址。(交换机出来的网线接入到路由器LAN口,LAN口默认开启了DHCP功能)

信任接口和非信任接口

启用了DHCP snooping功能的交换机所有接口默认情况下都是非信任接口 该接口没有snooping表项

        5.1 非信任接口收到DHCP请求消息时,只转发给信任接口。

              非信任接口收到DHCP响应消息时,直接丢弃

        5.2 信任接口收到了DHCP请求消息时,会转发给其他的信任接口,如果没有,将丢弃

              信任接口收到了DHCP响应消息时,会发给非信任接口

[SW1-GigabitEthernet0/0/3]dhcp snooping trusted //将该接口配置为信任接口

6、DHCP中间人攻击:

[SW1]arp dhcp-snooping-detect enable //全局开启基于DHCP snooping绑定表的动态ARP检测。

飞翔的瓜牛
关注
  • 20
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DHCP Snooping应用
qq_32044265的博客
05-25 2343
DHCP Snooping技术主要用于DHCP Server仿冒者攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击防范,以抵御网络中针对DHCP的各种攻击。 防止DHCP Server仿冒者攻击 如图1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。 图1 DHCP Client发送DHCP Dis
如何防御DHCP攻击
最新发布
weixin_73134956的博客
02-02 1191
2. 使用DHCP SnoopingDHCP Snooping是一种网络安全机制,可以在交换机上设置,用于验证和过滤通过交换机的DHCP消息。它可以验证DHCP消息的源IP地址和MAC地址信息,确保只有合法的DHCP服务器才能提供IP地址分配。DHCP(动态主机配置协议)攻击是一种网络攻击方式,攻击者通过篡改或伪造DHCP请求和响应消息,来获取目标网络中的IP地址、网关和DNS服务器等配置信息,甚至获取到未经授权的网络连接。这样可以确保只有经过授权的设备可以接入网络,防止未经授权的设备进行DHCP攻击。
DHCP Snooping
xiazhui1的博客
11-22 1482
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping原理和配置
热门推荐
qq_50929489的博客
09-21 1万+
DHCP Snooping原理和配置
DHCP Snooping简介
m0_73258133的博客
11-22 671
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping理论与配置
m0_49864110的博客
03-06 4497
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定DHCP Snooping IP源防攻击技术(IPSG)动态ARP检测技术(DAI)
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping是Cisco交换机提供的一个增强型DHCP安全特性,它可以在第二层网络中拦截并监控DHCP报文,从而提高网络安全性。 - **基本原理**: 通过将交换机端口划分为信任端口和非信任端口,确保只有合法的DHCP...
ip dhcp snooping.pdf
11-28
【IP DHCP Snooping与IP Source Guard】是网络管理中用于增强网络安全的重要技术,主要应用于企业或组织内部网络,以防止IP地址欺骗、ARP欺骗等网络攻击。这两种技术通常结合使用,以确保网络上的设备只能使用合法...
华为 ME60 V800R010C10SPC500 配置指南 - DHCP Snooping配置
04-04
在华为ME60 V800R010C10SPC500版本中,配置DHCP Snooping的主要目标是防范各种恶意攻击,如DHCP Server仿冒者攻击、中间人攻击、IP/MAC Spoofing以及DHCP续租报文攻击。 首先,了解DHCP Snooping的基本概念是至关...
DHCP网络安全特性技术白皮书.docx
10-12
总结来说,DHCP网络安全特性是现代网络环境中不可或缺的一部分,DHCP Snooping作为其中的关键技术,为网络管理员提供了有效的工具来防范多种类型的网络攻击。随着网络技术的不断发展,未来可能会出现更多增强安全性...
DHCP snooping代码
08-05
在使用DHCP动态获取地址上网的环境中如何防止DOS服务攻击,DHCP snoopingDHCP 整个过程进行监控,防止恶意获取地址。
华为 NE05E&NE08E V300R003C10SPC500 特性描述 - DHCP
04-17
同时,为了增强安全性,建议在相关设备上启用DHCP Snooping功能,防范中间人攻击、饿死攻击等网络威胁。 总的来说,DHCP是一个强大且实用的网络管理工具,尤其适用于大型网络环境。华为NE05E和NE08E路由器支持DHCP...
DHCP DHCP Snooping
weixin_55932038的博客
05-08 1026
因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露。-DHCP SnoopingDHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
锐捷交换机——DHCP Snooping
君逍遥o
10-09 1827
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了防止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
DHCP Snooping功能与实例详解
Jian Sun_的博客
08-07 3088
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他...
局域网攻击之DHCP Starvation(DHCP饿死)
YYYYU_ZHIZZZ的博客
05-29 3675
DHCP泛洪攻击
常见的DHCP攻击防范
栉风沐雪的博客
06-06 1697
DHCP用来自动分配ip地址,每一个DHCP service(DHCP服务器)都有一个DHCP pool(分配池),每一个终端对DHCP service发送请求时,DHCP service会从池中给终端分配IP,分配的方式会因为OS不同而不同,从前往后,从后往前,或者随机分配。DHCP饿死攻击是利用修改discover报文中的CHADDR地址,不断的向DHCP service发送请求,以此来耗尽DHCP pool中的地址。当其他终端在此想使用DHCP服务时,收到的ip为空。
DHCP饿死攻击
purvispanwu的博客
04-10 4755
原理 如果需要进行DHCP饿死攻击,必须不断发送伪造不同的chaddr地址的dhcp discover消息来获取地址 漏洞分析 DHCP服务器向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者 实现工具 kaili: Dhcpstarv工具 攻击命令 dhcpstarv -i [interface-name] 例子:dhcpstarv -i eth0 防御方式 dhcp snooping 开启dhcp snooping监听dhcp recover报文 [Huawei]dhcp
dhcp snooping原理及配置
07-10
DHCP Snooping是一种网络安全技术,用于防止恶意DHCP服务器和DHCP欺骗攻击。它基于交换机上的DHCP Snooping表,通过检查和验证DHCP消息的源MAC地址、IP地址和租约信息,确保只有授权的DHCP服务器可以提供IP地址给客户端。 工作原理如下: 1. 所有接入交换机端口默认为未信任状态,不允许发送DHCP请求或响应。 2. 管理员将指定的接入交换机端口标记为信任状态,允许发送DHCP消息。 3. 交换机在信任端口上监听DHCP Discover消息,并将源MAC地址、IP地址和租约信息添加到DHCP Snooping表中。 4. 当交换机接收到DHCP Offer、Request和Ack消息时,会验证源MAC地址、IP地址和租约信息是否与DHCP Snooping表中的相符。 5. 如果验证通过,交换机将允许该消息继续转发。否则,该消息将被丢弃。 配置步骤如下: 1. 开启DHCP Snooping功能: ``` switch(config)# ip dhcp snooping ``` 2. 标记信任和非信任接口: ``` switch(config)# interface <interface> switch(config-if)# ip dhcp snooping trust ``` 3. 配置DHCP绑定: ``` switch(config)# ip dhcp snooping binding <mac-address> vlan <vlan-id> interface <interface> ``` 4. 配置DHCP Snooping数据库保存位置(可选): ``` switch(config)# ip dhcp snooping database <filename> ``` 5. 配置DHCP Snooping选项(可选): ``` switch(config)# ip dhcp snooping option <option-name> <option-value> ``` 请注意,具体的配置步骤可能因不同的交换机型号和操作系统而有所差异,请参考相关厂商文档或命令行帮助进行配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞翔的瓜牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值