DHCP Snooping

于 2024-02-27 10:47:44 发布
阅读量1.7k 收藏 27
点赞数 21
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwljh134/article/details/136316588
版权

      DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

1.1 DHCP Snooping的基本原理

  1. DHCP Snooping信任功能将接口分为信任接口和非信任接口:
  • 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
  • 非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。

                      图1-1DHCP Snooping信任功能示意图

在二层网络接入设备使能DHCP Snooping场景中,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口(如图1-1中的if1接口),其他接口设置为非信任接口(如图1-1中的if2接口),使DHCP客户端的DHCP请求报文仅能从信任接口转发出去,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

  1. DHCP Snooping绑定表

如图1-2所示的DHCP场景中,连接在二层接入设备上的PC配置为自动获取IP地址。PC作为DHCP客户端通过广播形式发送DHCP请求报文,使能了DHCP Snooping功能的二层接入设备将其通过信任接口转发给DHCP服务器。最后DHCP服务器将含有IP地址信息的DHCP ACK报文通过单播的方式发送给PC。在这个过程中,二层接入设备收到DHCP ACK报文后,会从该报文中提取关键信息(包括PC的MAC地址以及获取到的IP地址、地址租期),并获取与PC连接的使能了DHCP Snooping功能的接口信息(包括接口编号及该接口所属的VLAN),根据这些信息生成DHCP Snooping绑定表。以PC1为例,图1-2中二层接入设备会从DHCP ACK报文提取到IP地址信息为192.168.1.253,MAC地址信息为MACA。再获取与PC连接的接口信息为if3,根据这些信息生成一条DHCP Snooping绑定表项。

                 图1-2 DHCP Snooping绑定表功能示意图

DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。

1.2 DHCP Snooping应用场景

  1. 防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
  1. 攻击原理

由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。如图1-3所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

                图1-3 DHCP Client发送DHCP Discover报文示意图

  1. 解决方法

为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。如图91-4所示。

图1-4 Trusted/Untrusted工作模式示意图

  1. 防止非DHCP用户攻击导致合法用户无法正常使用网络
  1. 攻击原理

在DHCP网络中,静态获取IP地址的用户(非DHCP用户)对网络可能存在多种攻击,譬如仿冒DHCP Server、构造虚假DHCP Request报文等。这将为合法DHCP用户正常使用网络带来了一定的安全隐患。

  1. 解决方法

为了有效的防止非DHCP用户攻击,可开启设备根据DHCP Snooping绑定表生成接口的静态MAC表项功能。之后,设备将根据接口下所有的DHCP用户对应的DHCP Snooping绑定表项自动执行命令生成这些用户的静态MAC表项,并同时关闭接口学习动态MAC表项的能力。此时,只有源MAC与静态MAC表项匹配的报文才能够通过该接口,否则报文会被丢弃。因此对于该接口下的非DHCP用户,只有管理员手动配置了此类用户的静态MAC表项其报文才能通过,否则报文将被丢弃。动态MAC表项是设备自动学习并生成的,静态MAC表项则是根据命令配置而成的。MAC表项中包含用户的MAC、所属VLAN、连接的接口号等信息,设备可根据MAC表项对报文进行二层转发。

  1. 防止DHCP报文泛洪攻击导致设备无法正常工作
  1. 攻击原理

在DHCP网络环境中,若攻击者短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。

  1. 解决方法

为了有效的防止DHCP报文泛洪攻击,在使能设备的DHCP Snooping功能时,可同时使能设备对DHCP报文上送DHCP报文处理单元的速率进行检测的功能。此后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。

  1. 防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
  1. 攻击原理

已获取到IP地址的合法用户通过向服务器发送DHCP Request或DHCP Release报文用以续租或释放IP地址。如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址;而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。

  1. 解决方法

为了有效的防止仿冒DHCP报文攻击,可利用DHCP Snooping绑定表的功能。设备通过将DHCP Request续租报文和DHCP Release报文与绑定表进行匹配操作能够有效的判别报文是否合法(主要是检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表),若匹配成功则转发该报文,匹配不成功则丢弃。

  1. 防止DHCP Server服务拒绝攻击导致部分用户无法上线
  1. 攻击原理

如图1-5所示,若设备接口if1下存在大量攻击者恶意申请IP地址,会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。           另一方面,DHCP Server通常仅根据DHCP Request报文中的CHADDR(Client Hardware Address)字段来确认客户端的MAC地址。如果某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址,同样将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。

 图1-5  DHCP Server服务拒绝攻击示意图

  1. 解决方法

为了抑制大量DHCP用户恶意申请IP地址,在使能设备的DHCP Snooping功能后,可配置设备或接口允许接入的最大DHCP用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到IP地址。

而对通过改变DHCP Request报文中的CHADDR字段方式的攻击,可使能设备检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,此后设备将检查上送的DHCP Request报文中的帧头MAC地址是否与CHADDR值相等,相等则转发,否则丢弃。

卓应
关注
  • 21
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
ACL的基本配置
08-27 975
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
博客
ACL的原理
08-27 617
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
博客
三层链路聚合
08-27 990
通过以上输出,eth-trunk处于工作状态,g0/0/0、g0/0/1、g0/0/2都处于活动状态。图11-17 三层链路聚合。本文出自作者的《HCIA Datacom学习指南》② 掌握控制静态LACP模式下控制活动链路的方法。通过以上输出可以看到AR1和AR2是可以通信的。① 掌握使用静态LACP模式配置链路聚合的方法。在文章最后加作者VX:可以免费领取以下资料。(1)查看eth-trunk 1的状态。③ 掌握静态LACP的部分特性的配置。创建eth-trunk编号为1。
博客
华为认证HCIA+HCIP+HCIE(超3000题含答案解析)
08-23 825
解析:hello报文的作用是建立和维护邻居关系,DD报文的作用是选举主从关系以及描述lsdb的摘要信息。解析:地址转化技术(NAT)可以实现私网IP地址转换成公网IP,从而实现私网访问公网,并且NAPT可以让多个私网IP转换成一个公网IP的多个端口号,从而实现许多个主机共享一个地址上网,地址转换可以屏蔽内部网络的用户,提高内部网络的安全性。我这里有华为数据通信的所有的考试题库,考试代码为H12-811、H12-821、H12-831,H12-891有需要的可以过来我拿,保证考试可以通过(怎么拿底部找我)。
博客
以太网链路聚合(LACP模式)
08-19 1006
活动接口则比较接口优先级,优先级数值低的优选为活动接口,数值一样则比较接口编号的大小,越小越优先。通过以上输出可知,修改了最大活动链路的数目为2,现在有4条链路,所以有二条链路为非活动链路,根据端口号,默认选择g0/0/5 和g0/0/6为非活动接口。图11-13在PC1上手动添加IP地址。通过以上输出可以看到,端口优先虽然变成了88,但是g0/0/5、g0/0/6还是没有成为活动接口,因为我们没有开启抢占功能。(6)在LSW1上把接口g0/0/5和g0/0/6的优先级变成88,让这两个接口成为活动接口。
博客
链路聚合配置(手工模式)
08-19 1059
这种机制把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找对应的出接口,不同的MAC或IP地址HASH得出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担。在使用Eth-Trunk转发数据时,由于聚合组两端设备之间有多条物理链路,就会产生同一数据流的第一个数据帧在一条物理链路上传输,而第二个数据帧在另外一条物理链路上传输的情况。PC2、PC3、PC4同理。
博客
以太网链路聚合的原理(全网最详细的)
08-15 901
以太网链路聚合Eth-Trunk简称链路聚合,通过将多个物理接口捆绑为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的。增加带宽:链路聚合接口的最大带宽可以达到各成员接口带宽之和。提高可靠性:当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高链路聚合接口的可靠性。负载分担:在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。11.1.2。
博客
2024年华为认证H12-811题库(超级好用的刷题软件)
08-14 1454
试题解析:高级ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、ICMP类型、源目的端口,生效时间段来定义规则,二层ACL使用以太网帧头来定义规则,如根据源目MAC地址二层协议等,用户自定义ACL可以使用用户自定义字符串来定义规则,所以答案选ABD。试题解析:NAPT是从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率,所以napt是通过端口号区分不同的ip地址的。因此答案选ABCD。
博客
2024年8月华为HCIE笔试填空题(超好用的刷题软件)
08-14 1373
若想实现R1访问4.4.4.0/24时,R4不需要查询标签表但能够了解该数据的转发优先级,则R3对于该FEC的出标签为( )(请直接填写阿拉伯数字,不要有符号)填空。R1和R4只支持Ipv4。22、ISP收敛速度比BGP 快,可能会导致网络流量丢失问题,通过使能设备的0SPF 与 BGP 联动特性,让设备在设定的联动时间内保持为( )(注:填空选,如涉及英文字母,全大写)路由器,使其发布的LSA中的链路度量值为最大值,从而告和其它0SPF 设备不要使用这个路由器来转发数据,以避免流量的丢失。
博客
hybrid接口实验配置
08-13 1072
在上例中以PC1访问sever1为例,PC1的数据帧到达交换机sw1的G0/0/1口后,由于配置了port hybrid pvid vlan 10,此时交换机会为此数据包打上vlan10这个标签。sw2通过查询mac地址表将此帧发送到G0/0/1口,由于G0/0/1口配置了port hybrid untagged vlan 10 20 30,意味这sw2会把此数据帧的vlan10标签剥离掉发送给sever1,回包过程反之,从而实现不同vlan的数据通信。图8-23 PC1上显示的ping程序测试信息。
博客
trunk的实验配置
08-13 890
配置接口的缺省vlan,当接口转发不带标签的帧时,配置此命令会携带对应的缺省vlan标签,由于条命令是将缺省vlan改成1,设备默认所有接口就是vlan1,因此输入后无法看到配置效果,可以不做配置。以上输出可以看到,G0/0/5分别属于vlan10 和vlan 20,并且端口前面标识为TG,代表G0/0/5口能够转发vlan10和vlan20的数据,并且是以带标签的形式进行转发的。当用户主机PC1发送报文给用户主机PC3时,报文的发送过程如下(假设交换机LSW1和LSW2上还未建立任何转发表项)。
博客
access接口的配置实验
08-12 925
第一列为vlan id,第二列type表示vlan 的类型,其中common表示普通vlan,*common表示为管理vlan,第三列port表示本交换机上面属于该vlan的接口。后续PC1与PC3的互访,由于彼此已学习到对方的MAC地址,报文中的目的MAC地址直接填写对方的MAC地址。【提示】如果需要对多个以太网接口进行相同的VLAN配置,可以采用端口组批量配置,减少重复配置工作。实验证明:相同的VLAN可以相互访问,不同的VLAN不能相互访问。图8-8在PC1上手动添加IP地址。
博客
全网最详细的VLAN的基本原理
08-12 940
交换机内部处理的数据帧都带有VLAN标签。而交换机连接的部分设备(如用户主机、服务器)只会收发不带VLAN tag的传统以太网数据帧。因此,要与这些设备交互,就需要交换机的接口能够识别传统以太网数据帧,并在收发时给帧添加、剥除VLAN标签。添加什么VLAN标签,由接口上的缺省VLAN(Port Default VLAN ID,PVID)决定。
博客
2024年8月份华为HCIP新增题库
08-11 643
有了Community属性,我们可以为不同种类的路由打上不同的Community属性值,这些属性值会随着BGP路由更新给其它AS,那么在其它的BGP路由器上,只需要根据Community属性值来执行差异化的策略即可,而不用去关心具体的路由前缀。(判断题)在BGP中,MED作为一种度量值,用于向外部对等体指出进入本AS的首选路径。解析:MSTP是IEEE 802.1S中定义的生成树协议,MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
博客
2024年8月份华为HCIA考试新增题库
08-11 805
168.1.252,因此R1为此vrrp地址的拥有者,无论R1的优先级配置为多少,实际运行的优先级都为255,因此R1启动后,一定是master设备。1308.【填空题】某网络所有路由器运行IS-IS,且均在Area 49.0001,其中R1的LSDB如图所示,据此判断Leve1-2的DIS为_____________。因此R1为dis设备。1312.【判断题】路由协议优先级的作用是给不同协议发现的路由分配不同的优先级,这样当一个路由器同时从不同的路由协议学习到相同的路由时,可以有—个选择的优先顺序。
博客
2024年7月华为最新HCIA题库
07-25 1282
试题解析:display ip interface E0/0/0 是查看E0/0/0接口的详细信息,通过图片可以看出 , 该接口的ip地址(internet address)为10.0.12.1 ,广播地址(broadcast address)为10.0.12.255 ,接口的MTU(maxiamum trasnsmit unit)值为1500 ,物理链路状态为(up)正常状态,因此答案选B。试题解析:选项A:如果两个接口都开启ARP代理,则主机A与主机B可以通信,数据通信是双向的,所以C和D错误。
博客
静态NAT的配置
07-25 899
此时可以配置单向的静态NAT,公网访问私网服务器时,通过单向静态NAT将多个公网地址转换为该私网服务器的私网地址,私网服务器访问公网时,通过NAT outbound进行转换。当私网内设备允许公网设备通过固定IP地址访问时,例如:私网中的服务器对公网设备提供服务,公网设备可以通过某一固定公网IP地址访问到该私网服务器。此时可以配置静态NAT,将该私网设备的私网IP地址和指定的公网IP地址进行转换。静态NAT还支持网段对网段的地址转换,即在指定私网范围内的IP地址和指定的公网范围内的IP地址进行互相转换。
博客
全网最详细的IPV6地址介绍
07-19 4333
IPv6地址总长度为128比特,通常分为8组,每组为4个十六进制数的形式,每组十六进制数间用冒号分隔。例如:FC00:0000:130F:0000:0000:09C0:876A:130B,这是IPv6地址的首选格式。为了书写方便,IPv6还提供了压缩格式,以上述IPv6地址为例,具体压缩规则为:一个IPv6地址可以分为如下两部分:接口标识可通过三种方法生成:手工配置、系统通过软件自动生成或IEEE EUI-64规范生成。其中,EUI-64规范自动生成最为常用。IPv6地址中的64位接口标识符(Interfa
博客
OSPF工作原理
07-17 716
DR/BDR的选举规则为:先比较设备DR优先级,优先级的取值范围为0-255,数值越大越优先,其默认值为1,设置为0时,不参与DR/BDR选举,如果无法通过优先级选举出DR/BDR,则比较Router-ID,具有更高的OSPF Router-ID的路由器(的接口)被选举成DR,其次为BDR,值得注意的是的是DR具有非抢占性,也就是说在一个MA网络中,一旦选举出来了DR,在DR设备正常运行的情况下,就算具有更高优先级的设备加入了此MA网络,也不会被选举为DR。OSPF使用Cost(开销)作为路由的度量值。
博客
有了它900分不是梦,华为datacom考证题库软件推荐
07-17 655
2.3.1答题模式需自己先选择答案,如选择正确,则蓝色框标记,如答案错误,则红色框标记,并同步用蓝色框标记正确答案,可通过解析查看答案。华为认证考试分为三个等级,分别为工程师HCIA、高级工程师HCIP、专家HCIE,等级越高,考试难度越大。进入答题页面,选择答案后按顺序以此完成答题,答题结束,点击【交卷】,提交交卷后将显示你的分数和答题正确率。点击【模拟考试】,点击【全真模拟】,选择对应模拟卷。点击题库类别,选择对应科目题库章节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值