一、DHCP
DHCP中继代理原理
问题:
-当客户机和DHCP服务器不在一个广播域时,DHCP服务器无法接收到客户机的DHCP discover广播数据包,客户机就无法获得IP地址;
解决:
-在客户机所在的广播域中,寻找一台路由器,这台路由器一个端口在客户机所在的广播域,另外一个端口在DHCP服务器所在的广播域,让这台路由器主动接收客户机的DHCP discover数据包,然后由这台路由器代替客户机向DHCP服务器申请IP地址,得到地址后,再把这个地址交给客户机,这台服务器称之为DHCP中继代理服务器;
二、DHCP Snooping
1、DHCP Snooping 概述
1)DHCP面临的安全威胁
-DHCP协议应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击:
&:DHCP Server仿冒者攻击
&:DHCP 饿死攻击
-为了保证网络的安全性,引入DHCP Snooping技术
2)DHCP Snooping是什么
-DHCP Snooping是DHCP的一种安全特性
-DHCP Snooping在DHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
3)DHCP Snooping 作用
-防止网络上针对DHCP的攻击
-增强网络的安全性、设备的可靠性、业务的稳定性
2、DHCP Server仿冒者攻击
1)仿冒攻击攻击原理:
-由于DHCP 服务器和DHCP 客户端之间没有认证机制,所以如果在网络上随意添加一台恶意的DHCP服务器,它就可以为客户端分配恶意且错误的IP地址,不仅可以导致客户端无法上网,而且容易造成客户端信息泄露,从而会对网络造成非常大的危害,**为什么会这样呢?**
-因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露
2)如何防御DHCP Server仿冒者攻击
-DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP地址
-DHCP Snooping信任功能将接口分为信任接口和非信任接口
- 信任接口:
&:信任接口接收DHCP服务器回应的的 DHCP ACK、DHCP Offer
&:设备只会将DHCP客户端的请求报文通过信任接口发送给合法的DHCP服务器
- 非信任接口:
&:非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP Offer报文后,会丢弃该报文
-所以我们将连接合法DHCP服务器的接口设置为信任接口即可,其他接口默认是非信任接口
&:连接合法DHCP服务器的接口为信任接口
&:连接客户端的接口开启snooping功能
3、DHCP饿死攻击
1)什么是饿死攻击
-饿死攻击也称DHCP Server服务拒绝攻击(拒绝服务攻击)
-黑客机发送大量恶意请求报文,不断的申请IP地址,导致DHCP服务器中IP地址池中IP地址被耗尽,由于DHCP服务器IP地址池枯竭,没有空闲的IP地址,所以无法为正常主机分配IP地址。
2)饿死攻击是如何实现的
由于DHCP 服务器通常仅根据DHCP Request报文中的CHADDR(主机MAC地址)来分配IP地址,
黑客主机,攻击者通过不断改变报文中的CHADDR(MAC地址)字段向DHCP 服务器申请IP地址,将会导致DHCP 服务器上的IP地址池被耗尽,从而无法为其他正常用户提供IP地址。
3)如何防御饿死攻击
-为了防止黑客主机恶意申请IP地址,在交换机中开启DHCP Snooping 功能,检测数据帧中的源MAC与DHCP报文中CHADDR(MAC地址)是否一致功能,如果两个MAC地址相同就进行数据转发,如果两个MAC地址不同就把丢弃报文。
备注:
-不过目前黑客攻击手动越来越强,这种防御方式作用也越来越小
-目前黑客主机在发起DHCP饿死攻击的时候,不在仅仅修改DHCP报文中CHADDR(MAC地址)
-黑客通常会将帧头的源MAC地址和DHCP报文中的CHADDR(MAC地址)同时进行修改,每一个攻击报文中,两个MAC地址都是相同的,所以通过一致性检查,无法有效的防御此类攻击,
所以目前为了防止DHCP 饿死攻击,不仅需要配置DHCP Snooping ,还需要配置端口安全,通过端口安全可以更加有效的防止DHCP饿死攻击
扫一扫
973
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
