拓扑
DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内网PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内网PC获取到的则是攻击者提供的网段,比如错误的网关,DNS,这样使得更加容易让客户端访问错误的信息。
1、正常情况下DHCP的获取
说明:正常情况下由三层交换机来提供DHCP地址服务,并且网段为10.1.1.0/24,DNS为10.1.1.253,GW为10.1.1.254
测试是能正常访问网站的,也能正常获取到DHCP的参数。
2、有干扰的情况下DHCP的获取
这时候出现了一台DHCP的干扰,这里以服务器搭建,在现网中可能是DHCP服务器,比如有人不知情的情况下搭建的学习的,还有家用路由器,无线路由器这种,都是默认开启DHCP功能的。
比如这里用的是其他网段的,192.168.1.0/24网段。
可以看到现在客户端获取到的为192.168.1.4了,这个是随即的,看谁响应的快就获取谁的。但会使得一部分PC访问不了正常的网络。
而PC1则是正常的获取。
这样的情况会导致内部网络出现这样的情况,一部分网络能够正常访问,因为获取到了正确的地址,而一部分则不行,因为受到了干扰。
3、解决办法
这时候可以使用DHCP Snooping来解决了,之前介绍过DHCP Snooping的作用,这里具体配置一下。这里说明,DHCP Snooping在最接近用户的地方使用最有效,否则就作用不大。
SW3560(config)#ip dhcp snooping
SW3560(config)#ip dhcp snooping vlan 1
SW3560(config)#int f0/3
SW3560(config-if)#ip dhcp snooping trust
在这里启用了DHCP Snooping的开关,在VLAN 1启用,并且把F0/3 设置为信任接口,也就是内网接入信任的DHCP服务器的接口,其余的都为非信任口。
可以看到交换机上面也有对应的绑定表。通过snooping技术,我们可以来解决DHCP 攻击以及干扰的情况,后续还能通过这个表项来解决ARP欺骗以及ip地址与MAC地址欺骗的功能。
4、大量非法DHCP请求
在BT5里面有一个工具,能够在启用后,瞬间把DHCP的地址池弄空,使得没有地址池资源分配给其他PC使用,让网络无法正常工作。
解决办法
在非信任接口上面启用限速功能,当该接口收到大量的非法DHCP 请求的时候,会进行shutdown。
SW3560(config-if)#ip dhcp snooping limit rate 10
在接口下敲入,速率可以根据自己需求来决定。
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。
扫一扫
1427
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
