前言
1,DHCP Snooping是DHCP的一种安全特性,通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。
2,该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。
3,DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的对应关系,保证合法用户能访问网络,作用相当于在DHCP Client和DHCPServer之间建立一道防火墙。
4,DHCP Snooping可以解决设备应用DHCP时遇到DHCP DoS(Denial ofService)攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题。
如图所示,在这里我们模拟把PC3作为客户端,路由器AR1作为真的DHCP服务器,路由器AR2作为假的服务器(做为“黑客”服务器)。交换机LSW1应用在用户网络PC3和DHCP服务器的网络之间,为防止 jia DHCP Server仿冒(AR2)攻击,要求在LSW1上的GE 0/0/2端口应用DHCP Snooping功能,把用户侧的接口配置为Untrusted模式,把运营商网络侧的接口配置为Trusted模式,同时配置DHCP Reply报文丢弃告警功能。
实验拓扑图
(注意:12.1.1.0/24和13.1.1.0/24网段任意配置做实验)
AR1-real DHCP server的配置:(真服务器)
[ar1-real-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[ar1-real-GigabitEthernet0/0/0]dhcp select global
[ar1-real]dhcp enable
[ar1-real]ip pool dhcp
[ar1-real-ip-pool-dhcp]network 12.1.1.0 mask 255.255.255.0
[ar1-real-ip-pool-dhcp]gateway-list 12.1.1.1
[ar1-real-ip-pool-dhcp]dns-list 12.1.1.1
PC3获取的ip地址为:(此时的PC3客户端是从AR1真的DHCP服务器获取到的IP地址)
AR2-jia DHCP server 的配置:
[ar2-jia]int g0/0/0
[ar2-jia-GigabitEthernet0/0/0]ip address 13.1.1.1 24
[ar2-jia-GigabitEthernet0/0/0]dhcp select interface
PC3重新获取ip地址为:
此时的PC3获取到的IP地址不稳定,可能是从仿冒者那里获取的13.1.1.0/24网段的IP地址
抓包查看:
然后我们在LSW1连接AR1 real dhcp server 的接口做snooping功能。
LSW1交换机开启snooping功能:
[LSW1]dhcp enable
[LSW1]dhcp snooping enable
[LSW1-vlan1]dhcp snooping enable
配置指定接口为Trusted模式
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping trusted
同时开启DHCP Reply报文丢弃告警功能
[LSW1-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-reply enable threshold 120
PC3重新获取IP地址(多次执行ipconfig /renew发现没有获取仿冒者的IP地址段)
查看LSW1的mac绑定列表
[LSW1-GigabitEthernet0/0/2]dis dhcp snooping user-bind vlan 1
此时PC3的mac被绑定在LSW1的GE 0/0/2接口上了
这样就简单实现了DHCP snooping防护
2966
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
