DHCP防攻击

已于 2023-03-22 17:04:04 修改
阅读量1.1k 收藏 6
点赞数 1
文章标签: 服务器 网络 运维 Powered by 金山文档
于 2023-03-13 18:18:16 首次发布
A_Puter办公室
本文链接:https://blog.csdn.net/m0_62017216/article/details/129500271
版权

1、防止DHCP Server仿冒者攻击

将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。

此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCPServer仿冒者的攻击。

DHCP客户端首次登录网络时,需要发送DHCPDiscover报文来寻找DHCP服务器。由于DHCPDiscover是以广播形式发送的,所以除DHCP服务器外网络中的其他设备也可以收到此报文。如果有网络设备冒充DHCP服务器,即DHCP仿冒服务器,就会回应给DHCP客户端仿冒的DHCPOffer报文。此报文中包含的仿冒信息,如错误的网关地址、错误的DNS服务器、错误的IP等,会造成DHCP客户端无法正常登录。

解决方案

为防止DHCP仿冒服务器的攻击,可把物理接口设置为Trusted或者Untrusted状态。如图所示,配置Trusted/Untrusted接口后,直接丢弃Untrusted接口上收到的 DHCP Offer/ACK报文,从而隔离 DHCP Server仿冒者攻击。

正常处理Trusted接口上收到的DHCPOffer/ACK报文,从而保证DHCP客户端正常接收DHCP Server返回的DHCP Offer/ACK报文。

2、防止非DHCP用户攻击

为了有效的防止非DHCP用户攻击,可开启设备根据DHCPSnooping绑定表生成接口的静态MAC表项功能。之后,设备将根据接口下所有的DHCP用户对应的DHCPSnooping绑定表项自动执行命令生成这些用户的静态MAC表项,并同时关闭接口学习动态MAC表项的能力。

3、防止DHCP报文泛洪攻击(DHCP饿死攻击)

在DHCP网络环境中,若攻击者短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。

为了有效的防止DHCP报文泛洪攻击,在使能设备的DHCPSnooping功能时,可同时使能设备对DHCP报文上送DHCP报文处理单元的速率进行检测的功能。此后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。

解决方法

DHCP泛洪一般来自特定端口或者特定的用户,可以通过手工或者自动的方式将泛洪端口DHCP进行隔离,避免影响正常接口的DHCP交互。

DHCP端口级防护 设备基于端口对DHCP上送速率进行监控,当某端口DHCP上送控制面报文速率超过特定阈值时,会将该端口的DHCP报文通过单独通道上送控制面,避免攻击影响正常的DHCP报文。

DHCP用户级防护设备对用户(基于MAC地址或者IP地址)上送控制面的DHCP报文速率进行监控,当某用户DHCP报文速率超过特定阈值时,会将该用户DHCP报文丢弃一段时间。

DHCP端口级防护属系统默认打开的功能,不需要手工配置;而DHCP用户级防护需要手工打开。

dhcp snoopingcheck dhcp-rate enable

4、防止仿冒DHCP报文攻击

已获取到IP地址的合法用户通过向服务器发送DHCPRequest或DHCP Release报文用以续租或释放IP地址。如果攻击者冒充合法用户不断向DHCP Server发送DHCPRequest报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址;而若攻击者仿冒合法用户的DHCPRelease报文发往DHCP Server,将会导致用户异常下线。

解决方法

为了有效的防止仿冒DHCP报文攻击,可利用DHCPSnooping绑定表的功能。设备通过将DHCP Request续租报文和DHCPRelease报文与绑定表进行匹配操作能够有效的判别报文是否合法,若匹配成功则转发该报文,匹配不成功则丢弃。

5、防止DHCP Server服务拒绝攻击

为了抑制大量DHCP用户恶意申请IP地址,在使能设备的DHCPSnooping功能后,可配置设备或接口允许接入的最大DHCP用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到IP地址。

而对通过改变DHCPRequest报文中的CHADDR字段方式的攻击,可使能设备检测DHCPRequest报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,此后设备将检查上送的DHCPRequest报文中的帧头MAC地址是否与CHADDR值相等,相等则转发,否则丢弃。

解决方法

为了抑制大量DHCP用户恶意申请IP地址,在使能设备的DHCPSnooping功能后,可配置设备或接口允许接入的最大DHCP用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到IP地址。

dhcp snoopingmax-user-number

而对通过改变DHCP Request报文中的CHADDR字段方式的攻击,可使能设备检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,此后设备将检查上送的DHCP Request报文中的帧头MAC地址是否与CHADDR值相等,相等则转发,否则丢弃。

dhcp snoopingcheck mac-address enable

6、中间人攻击

在应用DHCP的网络中可能存在这样的攻击:

A、攻击者向DHCP客户端发带有自己MAC和服务器IP的ARP报文,让客户端学到包含服务器IP和自己MAC的ARP表项,之后,客户端发到服务器的报文都会经过攻击者。

B、攻击者向服务器发带有自己MAC和客户端IP的ARP报文,让服务器学到包含客户端IP和自己MAC的ARP表项,之后,服务器发到客户端的报文都会经过攻击者。

这样攻击者就可以达到仿冒 DHCP服务器和 DHCP客户端的目的,从而获得DHCP服务器和DHCP客户端之间交互的信息。

解决方案

为了防止中间人攻击,可以使能 DHCPSnooping 功能并配置 ARP防中间人攻击功能。

使能DHCP Snooping功能后,设备上将建立和维护一个 DHCP Snooping绑定表。该绑定表包含用户的IP地址、MAC地址、VLAN以及用户接入端口等信息。配置ARP防中间人攻击功能后,只有接收到的ARP 报文中的信息和绑定表中的内容一致才会被转发,否则报文将被丢弃。由于中间人发送的ARP欺骗报文中IP地址和MAC地址与 DHCP Snooping绑定表中的不一致,攻击报文将被丢弃。

7、仿冒DHCP报文攻击

攻击原理

已获取到IP地址的合法用户通过向服务器发送DHCP Request或DHCP Release报文用以续租或释放IP地址,如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址。而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。

解决方法方法

为了有效的防止仿冒DHCP报文攻击可利用DHCPSnooping绑定表的功能。设备通过将DHCP Request续租报文和DHCP Release报文与绑定表进行匹配操作能够有效的判别报文是否合法(主要是检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表)若匹配成功则转发该报文匹配不成功

则丢弃。

dhcp snooping check user-bind enable

8、DHCP服务器拒绝服务攻击

攻击原理

如图所示,若设接口if1下存在大量攻击者恶意申请IP地址,会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。

另一方面,DHCP Server通常仅根据DHCP Request报文中的CHADDR(Client Hardware Address)字段来确认客户端的MAC地址,如果某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址,同样将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。

解决方法

为了抑制大量DHCP用户恶意申请IP地址,在使能设备的DHCP Snooping功能后,可配置设备或接口允许接入的最大DHCP用户数当接入的用户数达到该值时则不再允许任何用户通过此设备或接口成功申请到IP地址。

dhcp snooping max-user-number

而对通过改变DHCP Request报文中的CHADDR字段方式的攻击可使能设备检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,此后设备将检耷上送的DHCP Request报文中的帧头MAC止是否与CHADDR值相等相等则转发否则丢弃。dhcp snoopingcheck mac-address enable

防止非DHCP用户攻击

攻击原理

在DHCP网络中,静态获取IP地址的用户(非DHCP用户)对网络可能存在多种攻击,譬如仿冒DHCP Server、构造虚假DHCP Request报文等。这将为合法DHCP用户正常使用网络带来了一定的安全隐患。

解决方法

为了有效的防止非DHCP用户攻击,可开启设备根据DHCP Snooping绑定表生成接口的静态MAC表项功能。

之后,设备将根据接口下所有的DHCP用户对应的DHCP Snooping绑定表项自动执行命令生成这些用户的静态MAC表项并同时关闭接口学习动态MAC表项的能力。此时,只有源MAC与静态MAC表项匹配的报文才能够通过该接口否则报文会被丢弃。因此对于该接口下的非DHCP用户,只有管理员手动配置了此类用户的静态MAC表项其报文才能通过否则报文将被丢弃。

dhcp snooping sticky-mac mac-address learning disable

动态MAC表项是设备自动学习并生成的,静态MAC表项则是根据命令配置而成的。MAC表项中包含用户的MAC、所属VLAN、连接的接口号等信息,设备可根据MAC表项对报文进行二层转发。

A_Puter
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网络安全】【DHCP_攻击御】
06-09
DHCP攻击御,使用交换机的DHCP监听功能增强网络安全性!
网络实验报告-DHCP安全.doc
05-07
在eNSP中配置DHCP安全,配置可信端口
Fake-DHCPv6-Attack:虚假DHCPv6攻击
05-18
DHCPv6攻击 虚假DHCPv6攻击:Scapy脚本审核Cisco路由器DHCPv6 Server的CPU和内存资源耗尽漏洞。 在快速提交模式下的DHCPv6服务器仅通过接收不正确的“ SOLICIT”消息来为IPv6前缀分配属性。 如何使用脚本: 1-通过以下方式获取DHCPv6服务器MAC地址: 看本地邻居表 ping所有DHCP代理多播地址FF02 :: 1:2 2-手动填充脚本变量“ macdst” 请参考以下部署实验室以了解更多详细信息: :
关于当前电信网络DHCP攻击御的分析
03-23
图文并茂地讲述了几种常见的DHCP攻击方法和相应的御策略
CISCO DAI ARP攻击
08-09
1、启用DHCP SNOOPING 2、启用DAI,止ARP欺骗和中间人攻击! 3、启用IPSG
详解DHCP部署与安全方案:保护你的网络免受攻击
weixin_43263566的博客
11-02 2674
DHCP部署与安全
常见的DHCP攻击
栉风沐雪的博客
06-06 1389
DHCP用来自动分配ip地址,每一个DHCP service(DHCP服务器)都有一个DHCP pool(分配池),每一个终端对DHCP service发送请求时,DHCP service会从池中给终端分配IP,分配的方式会因为OS不同而不同,从前往后,从后往前,或者随机分配。DHCP饿死攻击是利用修改discover报文中的CHADDR地址,不断的向DHCP service发送请求,以此来耗尽DHCP pool中的地址。当其他终端在此想使用DHCP服务时,收到的ip为空。
DHCP安全及
ssslq的博客
02-10 4189
攻击以及安全
DHCP安全威胁
NightChenRight的博客
09-26 1811
isis: 集成 clnp 和 ip 工作在数据链路层 第一部: 建立邻居关系 -----(hello报文、RID 等) 同步数据库 ----- (dd/lsr/lsu/lsack) 计算路由表 ----- (spf算法)disktra? ospf:只支持ip 工作在网络层 ...
DHCP仿冒及防护
ssslq的博客
02-17 1639
DHCP攻击
ARP攻击解决方案
03-28
本文主要介绍如何利用以太网交换机DHCP监控模式或认证方式下的ARP攻击御功能,止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和...
DHCP服务器攻击详细步骤
Zeker62的博客
08-04 2587
攻击内容 本次攻击分为两个步骤: 攻击DHCP服务器,消耗地址池中的IP地址,让新来的主机不能获得IP。 伪装成DHCP服务器,采用中间人攻击,获取各种数据包。 攻击DHCP服务器:消耗地址池 建议在做攻击的时候使用两块网卡,一块可以正常上网,一块用作这一网络内的内部网卡, kali工具 dhcpstarv 使用 dhcpstarv -v -i eth1 (我在这一网络下的网卡就是eht1) 建议使用-v将攻击过程放到前台观看. 我们转到服务器上去看看,发现我们已经将地址池消耗的差不多了
11、DHCP的安全问题及
weixin_44012909的博客
08-20 2230
一、DHCP饿死攻击 CHADDR:客户端的硬件地址(源MAC地址) 攻击原理:攻击者持续大量的向服务器申请IP地址,导致服务器地址池地址耗尽,从而不能正常给客户分配地址。 利用的漏洞:DHCP服务器无法分辨主机。 御:DHCP snooping(窥探)饿死攻击----致性检查(request报文帧头mac地址和chaadde报文字段是否相同,相同才转发)、限制接口允许学习的DHCP...
DHCPDHCP防护 配置
编程猴
02-05 1467
DHCPDHCP防护 (目的:通过配置开启dhcp自动分配ip) 在路由器上配置地址池: 开启 dhcp 服务:Router(config)#service dhcp Router(config)#ip dhcp pool vlan10 //创建一个名为 vlan10 的地址池 Router(dhcpconfig)#default-router 192.168.10.254 //设置...
HCIE(2)——DHCP/MAC/ICMP等相关攻击简介
qq_45782298的博客
10-22 658
一、DHCP攻击御 1)DHCP的工作 过程: 2)攻击原理 1、拒绝服务攻击,由于DHCP没有任何认证机制,所以我们可以伪造大量的DHCP请求来瘫痪DHCP服务器,让DHCP服务器应接不暇(只需要发送discovery包即可)。 2、我们可以伪造垃圾MAC地址来请求DHCP地址池中的IP,直到DHCP服务器的资源耗尽为止(此种方式需要完成DHCP的整个工作过程) 3)御手段(在交换机上的御手段) 针对第一种发送大量请求的攻击,我们可以通过限速来实施御。 针对第二种地址的消耗,又可以分以下两种
网络安全——局域网内网络攻击手段(MAC地址攻击、ARP攻击DHCP攻击
热门推荐
永远是少年
06-24 1万+
网络安全一直是信息安全的重要内容,而局域网安全又往往是网络安全的一个重要组成部分。局域网内有哪些攻击攻击手段呢?今天主要介绍MAC地址攻击、ARP攻击DHCP攻击攻击的原理。要看懂本文,需要有一定的局域网内交换知识、DHCP原理等的理解。 一、MAC地址攻击 1、MAC地址洪范攻击 所谓MAC地址洪范攻击,就是攻击者向局域网内发送大量伪造MAC地址的数据包,意图占满局域网内交换机的MAC地址转发表。由于交换机MAC地址表往往都具有一定的空间限制,当MAC地址表被占满后,就无法学习到新的MAC地址,因此,
华为数通方向HCIP-DataCom H12-831题库(多选题:201-220)
最新发布
didiplus
10-07 834
华为数通方向HCIP H12-831
华为基于dhcp snooping表的各种攻击
05-14 1241
华为基于dhcp snooping表的各种攻击
网络安全:中间人攻击详解,保护你的数据安全!
m0_72410588的博客
08-26 970
中间人攻击是指黑客通过篡改或监听通信流量,在通信双方之间插入自己的设备或软件,从而实现窃取敏感信息或篡改通信内容的攻击行为。与其他攻击方式相比,中间人攻击具有隐蔽性高、风险低的特点,因此被广泛应用于各类网络环境中。中间人攻击威胁着我们的个人信息安全和网络通信的顺畅性。在数字化时代,我们应该重视网络安全,采取正确的预措施,保护自己的数据安全。只有通过加强网络安全意识,共同构建安全可信的网络环境,我们才能更好地享受数字科技带来的便利与乐趣。
如何御mac地址攻击
06-10
3. 配置 DHCP Snooping:DHCP Snooping 可以攻击者通过伪造 DHCP 服务器的方式获取网络访问权限。 4. 配置静态 MAC 地址:可以为网络设备配置静态 MAC 地址,在网络设备上进行 MAC 地址过滤,只允许已授权的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

A_Puter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值