抓包分析之DHCP

DHCP 报文是承载于 UDP 上的高层协议报文,采用 67(DHCP 服务器)和 68(DHCP 客户端)两个端口号。

DHCP前身:BOOTP(纯配地址);DHCP为了兼容BOOTP,DHCP报文的前部分与BOOTP一样。

重要的包结构:
客户端硬件地址–>客户机发送自己的MAC地址,服务器根据MAC地址给客户机分配IP地址;该地址与二层的源MAC地址一样

Offer:单播广播都有可能
ACK:单播广播都有可能

Magic Cookie:区分是BOOTP还是DHCP,有的话是DHCP,字段纯固定

DHCP中继:
Option82选项:插入中继后会有,用处:大型网络规划时用到,无线技术中用的多,更好的控制DHCP地址分给谁,待补充

DHCP的攻击:
一、恶意DHCP服务器:
1、分配错误的IP地址使用户无法上网,以纯破坏为目的,且容易被发现,少见
2、 把自己设置成为网关,代理上网,所有流量经过此,不加密传输的流量泄密
3、 恶意DHCP会先运行脚本,耗尽合法(Dos掉)DHCP服务器地址池,然后再上线恶意DHCP服务器,此时可以操作第2步

解决:
DHCP Snooping(嗅探)技术:
在交换机上激活,再在合法的DHCP服务器接口trust,只有trust才能发Offer、ACK包
可以对客户机接口DHCP请求速率进行控制,使得Dos掉DHCP服务器无法进行

嗅探:可以嗅探DHCP过程,可以记录事件的关键信息,构建DHCP服务器的表(在交换机上);此表为防止ARP攻击提供比对数据库

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 黑客帝国 设计师:白松林 返回首页