DHCP Snooping
开启DHCPSnooping,设置路由端口(信任端口)
SW建立一张DHCP监听绑定表(DHCPsnooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息
DHCP Server的冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。
DHCP耗竭攻击
由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击,
所以并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。
客户端随意指定IP地址
客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。
使用IPSG:IP 源防护(IP SourceGuard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
交换机内部有一个 IP 源绑定表(IPSource Binding Table)作为每个端口接受到的数据包的检测标准,只有在两种情况下,交换机会转发数据:
1:所接收到的 IP 包满足 IP 源绑定表中 Port/IP/MAC 的对应关系
2:所接收到的是 DHCP 数据包,其余数据包将被交换机做丢弃处理。
IP 源绑定表可以由用户在交换机上静态添加,或者由交换机从 DHCP 监听绑定表(DHCP Snooping Binding Table)自动学习获得。静态配置是一种简单而固定的方式,但灵活性很差,因此 Cisco 建议用户最好结合 DHCP Snooping 技术使用 IP Source Guard,由 DHCP 监听绑定表生成 IP 源绑定表。
DHCP snooping Binding拓展用途
DAI技术。
Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI 以 DHCPSnooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
在配置 DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。