<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

DHCP***简介

 
接入层是***频发的地带,因为这是一个鱼龙混杂的地方。一般园区网的主机起机的时候会发送一个DHCP请求,以广播方式发送。DHCP server接到请求会响应主机。一般windows操作系统请求的内容比较少,比如:ip地址,掩码,网关,租用时间。一些无盘工作站还会请求多一些的内容,像tftp server的地址。因为无盘工作站没有硬盘,只有网卡,它把那些请求的功能集成在网卡里了。
其实,DHCP可以分配100多项内容(76个标准的+一些扩展),是根据请求内容分配的。
现在,假如有一个rogue DHCP attacker连到接入层,它会冒充DHCP server给发出请求的client回应(因为请求是广播发出的,attacker也收得到)。一般情况下,这个attacker会把响应里的网关指向自己。这样,客户上网的流量都会经过attacker。也就是“中间人”***。作为一般用户来说,他不会发现任何的异常,windows系统也不会显示分配到的地址(除非命令行下ipconfig)。
作为attacker会使用一些嗅探工具去嗅探你上网发送的数据包。在网络中使用的一些协议诸如pop3 http telnet ftp等使用的都是明文认证,所以密码很容易被窃取。很多人喜欢把所有的密码设为同样的。所以作为***者来说,只要早晨起床来看看截获了哪些密码就好。
嗅探软件有很多种,一个菜鸟5分钟就能会用,所以这种***是很危险的。

 

 
防御的方法

 
一般使用DHCP侦听防御DHCP***。
将接入层交换机上与客户端相连的接口设为不信任端口,把与交换机相连的端口设为信任端口。当untrusted port收到DHCP应答的时候,交换机会丢弃这个应答数据包,注意,只是应答数据包。所以当一个client发起DHCP请求的时候,***者还是会响应这个请求,但这个响应传到交换机的时候会被丢弃。这样就有效的防范了DHCP***。
命令如下:
Ip dhcp snooping
Ip dhcp snooping information option
Ip dhcp snooping trust  (接口下)
Ip dhcp snooping limit rate [rate]
Ip dhcp snooping vlan number
验证:
Show ip dhcp snooping

 

第四条命令可以限制报文速率,有效防止dos***。

 

 
Ip源保护

 
DHCP侦听中还有另外一个很重要的方面。当client发送一个DHCP请求的时候,到了交换机的端口,交换机会截获这个报文,加上82 option这个选项,用于记录client macport mac。当DHCP server发回响应报文的时候截获应答,以获得clientip地址和mac以及自己端口的映射。当client发包的时候,要这个映射匹配才发包。
这个叫做用户源保护。有些用户喜欢手动修改自己的ip地址或mac地址。这有可能造成冲突,使其他的用户无法正常上网,或者避免一些控制以拥有一些其他的权限。在开启了这个功能后可以防止这一点。
Ip源保护以DHCP snooping作为ip源保护并不能阻止像arp欺骗这样的***,因为arp欺骗的数据包源那部分并没有错,只是目的那部分不对。

 

命令配置:
ip dhcp snooping
ip dhcp snooping vlan number
ip verify source vlan dhcp-snooping port-security