一、案例拓扑
二、攻击思路
- 由于dhcp协议没有认证机制,所有黑客可以伪造大量dhcp discover 请求 ,也就是听过拒绝式从而服务攻击,使得dhcp服务器 瘫痪,无法给局域网的网络设备提供服务。
- 黑客通过伪造大量的垃圾mac地址,请求dhcp服务器,使得地址池中的地址资源耗尽,法给局域网的网络设备提供服务。
以上两种方式实现后,黑客可以自己伪装dhcp服务器,位该局域网提供dhcp服务,(同时黑客主机可以开启路由转发模式,确保受害主机正常通讯)达到,窃取、破坏和瘫痪网络的目的。
环境:
dhcp服务器:vmware net 8 网卡对应的服务器
攻击机:kali – yersinia
构建dhcp 服务器:yersinia 搭建
1、攻击
单击ok
大量垃圾的dhcp 数据包
查看dhcp获取状况
pc1
pc2
伪造dhcp服务器
单击ok
查看dhcp获取状况
pc1
pc2
三、防御方案
1、在交换机上做限速操作
针对第一种攻击,做限速处理,降低dhcp服务器处理的数据包数量
#开启防御
[Huawei]dhcp enable
[Huawei]dhcp snooping enable vlan 1
[Huawei]int g0/0/3
#除了连接服务器的接口,开启dhcp信任表,禁止仿冒dhcp
[Huawei-GigabitEthernet0/0/3]dhcp snooping trusted
#只允许10个mac dhcp 请求
[Huawei-GigabitEthernet0/0/3]dhcp snooping max-user-number 10
#流速限制
[Huawei]dhcp snooping check dhcp-rate enable vlan 1
[Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-rate 10
2、在交换机上构建信任表
针对第二种攻击:
(1)如何二层src mac 不变,应用层dhcp包中的src mac 变化,可以检测这两者的一致性,不一致,直接丢弃
#检测chaddr字段
[Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-chaddr enable
[Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-giaddr enable
(2)如果一致,构建mac-ip-接口-vlan的映射表,查看dhcp 数据包中的src mac 与信任表中的映射关系是否一致,不一致,丢弃或者关闭接口
[Huawei]dhcp snooping check dhcp-chaddr enable vlan 1
[Huawei]dhcp snooping check dhcp-giaddr enable vlan 1
[Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-chaddr enable
[Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-giaddr enable
#人工构建
#保存信任表信息
[Huawei]dhcp snooping user-bind autosave flash:/11.tbl