DHCP攻击
就dhcp这个协议而言,共存在4中包
discover office requrst ack 工作过程就不阐述了。
但是由于没有确认(认证)机制,就透出了安全漏洞。
从而造就以下的攻击方式:
- 通过伪造大量的MAC地址来获取dhcp池塘的ip地址,使得池塘的ip被取尽,无法提供服务。
1. 通过伪造物理层所在的MAC地址;
2. 伪造dhcp协议包中的MAC地址。 - (dos攻击)通过伪造大量的dhcp请求包(discover ,request )来攻击dhcp的服务器。使得dhcp服务器应接不暇,使的对来自正常的dhcp请求无法处理 。
从而:
攻击者再伪造成dhcp服务器为主机提供服务,下放ip地址,(下放的ip地址可做为设备的网关,dns,网页等)。
防御
-
针对第一种伪造大量的mac地址来取尽ip地址可以采用。
- 限制接口的最大下放数量。
- 建立端口,mac的映射表。
-
针对dos攻击
- 限制接口的发包速率
- 开启信任接口
dhcp enable //开启DHCP服务
dhcp snooping enable //开启dhcp snooping
dhcp snooping enable vlan xxx //针对vlan xxx开启dhcp snooping
dhcp snooping check dhcp-rate enable //开启全局接口dhcp发包的限速
dhcp snooping check dhcp-rate 10 //限制dhcp的发包数量
interface GigabitEthernet0/0/1
dhcp snooping trusted //开启dhcp snooping的信任,不检查该接口的dhcp包,如果不配置该命令
那么接口在开启dhcp snooping的情况下将会检测接口是否发出dhcp offer与ack包,如果发出则过滤
掉。
dhcp snooping max-user-number 10 //限制该接口DHCP包的用户数。
dhcp snooping user-bind autosave flash:/111.tbl //开启自动保存use-bind表。这是为了防止设备在
重启启动后由于绑定表丢失而导致的防御失效。