本文转载自【微信公众号:通信百科,ID:Txbaike】经微信公众号授权转载,如需转载与原文作者联系
“为什么即使我的笔记本电脑已经动态获取IP地址,我也不能访问网络?” 您在日常生活中遇到过这个问题吗?您怀疑IP地址的真实性吗?是否来自授权的DHCP服务器?如果没有,如何防止这种情况发生?在这篇文章中,将引入术语DHCP监听以帮助用户避免非法IP地址。
什么是DHCP监听?
DHCP的全称Dynamic Host configuration protocol, 动态主机配置协议。而DHCP侦听是网络交换机系统中的第2层安全技术,该技术会丢弃被确定为不可接受的DHCP通信。DHCP监听可防止未经授权的(恶意)DHCP服务器向DHCP客户端提供IP地址。DHCP监听功能执行以下活动:
验证来自不受信任来源的DHCP消息并过滤掉无效消息。建立并维护DHCP监听绑定数据库,该数据库包含有关具有租用IP地址的不受信任主机的信息。利用DHCP监听绑定数据库来验证来自不受信任主机的后续请求。DHCP监听如何工作?
要弄清楚DHCP监听的工作方式,我们必须了解DHCP的工作机制,该机制代表动态主机配置协议。启用DHCP后,没有IP地址的网络设备将通过以下四个阶段与DHCP服务器“交互”。
(图片来源于网络)
我们可以用如下方式形象地解释:
(图片来源于网络)
另外,DHCP监听通常将交换机上的接口分为两类:可信端口和不可信端口,如图2所示。可信端口是DHCP服务器消息可信的端口或源。不受信任的端口是不信任DHCP服务器消息的端口。如果启动了DHCP监听,则只能通过受信任的端口发送DHCP提供消息。否则,它将被丢弃。
DHCP监听可防止常见攻击
DHCP欺骗攻击
当攻击者尝试响应DHCP请求并尝试将其自身(欺骗)列为默认网关或DNS服务器,从而在中间攻击中发起人员攻击时,就会发生DHCP欺骗。这样一来,他们就有可能在转发给真实网关之前拦截来自用户的流量,或者通过向真实DHCP服务器发送请求来阻塞IP地址资源来执行DoS。
DHCP饥饿攻击
DHCP饥饿攻击通常以网络DHCP服务器为目标,目的是使用欺骗性的源MAC地址向授权的DHCP服务器发送DHCP REQUEST消息。DHCP服务器将通过分配可用的IP地址来响应所有请求(不知道这是DHCP饥饿攻击),从而导致DHCP池耗尽。
如何启用DHCP监听?
DHCP监听仅适用于有线用户。作为访问层安全功能,通常在包含DHCP服务的VLAN中包含访问端口的任何交换机上启用此功能。部署DHCP监听时,需要在希望保护的VLAN上启用DHCP监听之前,设置可信端口(合法DHCP服务器消息将通过的端口)。
结论
尽管DHCP简化了IP寻址,但同时也引发了安全问题。为了解决这些问题,DHCP监听是一种保护机制,可以防止来自恶意DHCP服务器的无效DHCP地址,并且可以抵御试图用尽所有现有DHCP地址的资源耗尽攻击。
举报/反馈
扫一扫
6490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
