DHCP Snooping、DHCP Server仿冒者攻击、DHCP饿死攻击

1、DHCP Snooping 概述

1）DHCP面临的安全威胁

-DHCP协议应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击：

       &：DHCP Server仿冒者攻击

       &：DHCP 饿死攻击

-为了保证网络的安全性，引入DHCP Snooping技术

2）DHCP Snooping是什么

-DHCP Snooping是DHCP的一种安全特性

-DHCP Snooping在DHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙，以抵御网络中针对DHCP的各种攻击。

3）DHCP Snooping 作用

-防止网络上针对DHCP的攻击

-增强网络的安全性、设备的可靠性、业务的稳定性

2、DHCP Server仿冒者攻击

1）仿冒攻击攻击原理：

-由于DHCP 服务器和DHCP 客户端之间没有认证机制，所以如果在网络上随意添加一台恶意的DHCP服务器，它就可以为客户端分配恶意且错误的IP地址，不仅可以导致客户端无法上网，而且容易造成客户端信息泄露，从而会对网络造成非常大的危害，**为什么会这样呢？**

-因为DHCP客户端发送的DHCP Discover报文是以广播形式发送，无论是合法的DHCP 服务器，还是非法的DHCP Server都可以接收到DHCP Discover报文，如果此时非法的DHCP仿冒服务器，回应给DHCP 客户端，恶意的仿冒信息（如：错误的IP、错误的网关、错误的DNS），DHCP 客户端无法分辨这些信息，所以最终导致DHCP客户端无法上网和信息泄露

2）如何防御DHCP Server仿冒者攻击

-DHCP Snooping的信任功能，能够保证客户端从合法的服务器获取IP地址

-DHCP Snooping信任功能将接口分为信任接口和非信任接口

- 信任接口：

        &：信任接口接收DHCP服务器回应的的 DHCP ACK、DHCP Offer

        &：设备只会将DHCP客户端的请求报文通过信任接口发送给合法的DHCP服务器
- 非信任接口：

        &：非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP Offer报文后，会丢弃该报文           

-所以我们将连接合法DHCP服务器的接口设置为信任接口即可，其他接口默认是非信任接口

        &：连接合法DHCP服务器的接口为信任接口

        &：连接客户端的接口开启snooping功能

3、DHCP Server仿冒者攻击实验

1）拓扑

2）需求：为了提高网络安全性，为了预防公司主机被仿冒DHCP服务器欺骗，导致无法上网等情况发生，公司要求：在交换机SW1中部署DHCP Snooping，来预防仿冒者攻击

3）配置步骤：

第一步：配置合法DHCP服务器

  --开启DHCP功能

  --创建IP地址池

  --定义网段

  --定义网关

  --定义DNS

  --给vlanif1 配置IP地址--网关地址（使用默认的vlanif1）

  --在vlanif1 接口下开启全局的DHCP功能

第二步：配置仿冒DHCP服务器

  --开启DHCP功能

  --创建IP地址池

  --定义网段

  --定义网关

  --定义DNS

  --给vlanif1 配置IP地址--网关地址（使用默认的vlanif1）

  --在vlanif1 接口下开启全局的DHCP功能

第三步：在SW1上配置DHCP Snooping 

  --SW1交换机连接PC的接口，开启DHCP Snooping功能

  --SW1交换机连接合法DHCP服务器的接口配置为信任接口

  --SW1交换机既没有开启DHCP Snooping，也没有配置信任接口的都属于非信任接口

第四步：验证与测试

4）配置命令：
第一步：配置合法DHCP服务器：
SW3-DHCP配置：
[SW3-DHCP]dhcp enable    //开启dhcp 功能
[SW3-DHCP]ip pool tedu2  //创建IP地址池
[SW3-DHCP-ip-pool-tedu2]network 192.168.20.0 mask 24   //定义网段
[SW3-DHCP-ip-pool-tedu2]gateway-list 192.168.20.254   //定义网关
[SW3-DHCP-ip-pool-tedu2]dns-list 8.8.8.8              //定义dns
[SW3-DHCP-ip-pool-tedu2]quit
[SW3-DHCP]int vlanif1                 //进入vlanif 1
[SW3-DHCP-Vlanif1]ip address 192.168.20.254 24   //给vlanif 1 配置IP地址--网关地址
[SW3-DHCP-Vlanif1]dhcp select global   //在vlanif 1虚接口下开启基于全局的dhcp

第二步：配置DHCP仿冒服务器
SW2-FM配置：
[SW2-FM]dhcp enable 
[SW2-FM]ip pool tedu1
[SW2-FM-ip-pool-tedu1]network 192.168.10.0 mask 24
[SW2-FM-ip-pool-tedu1]gateway-list 192.168.10.254 
[SW2-FM-ip-pool-tedu1]dns-list 9.9.9.9
[SW2-FM-ip-pool-tedu1]quit
[SW2-FM]int vlanif 1
[SW2-FM-Vlanif1]ip address 192.168.10.254 24
[SW2-FM-Vlanif1]dhcp select global

第三步：在SW1上配置DHCP Snooping 
SW1配置：
[SW1]dhcp enable   //开启dhcp 功能
[SW1]dhcp snooping enable  //开启dhcp snooping 功能
[SW1]port-group group-member g0/0/1 g0/0/2
[SW1-port-group]dhcp snooping enable  //在连接PC的接口下开启dhcp snooping 
[SW1-port-group]quit
[SW1]int g0/0/4
[SW1-GigabitEthernet0/0/4]dhcp snooping trusted   
//在连接合法dhcp 服务器的接口上开启信任接口

第四步：验证与测试
PC通过合法DHCP服务器获取192.168.20.0/24的IP地址
```

4、DHCP饿死攻击

1）什么是饿死攻击

-饿死攻击也称DHCP Server服务拒绝攻击（拒绝服务攻击）

-黑客机发送大量恶意请求报文，不断的申请IP地址，导致DHCP服务器中IP地址池中IP地址被耗尽，由于DHCP服务器IP地址池枯竭，没有空闲的IP地址，所以无法为正常主机分配IP地址。

2）饿死攻击是如何实现的

由于DHCP 服务器通常仅根据DHCP Request报文中的CHADDR（**主机MAC地址）**来分配IP地址，

黑客主机，攻击者通过不断改变报文中的CHADDR（**MAC地址**）字段向DHCP 服务器申请IP地址，将会导致DHCP 服务器上的IP地址池被耗尽，从而无法为其他正常用户提供IP地址。

3）如何防御饿死攻击

-为了防止黑客主机恶意申请IP地址，在交换机中开启DHCP Snooping 功能，检测数据帧中的**源MAC**与DHCP报文中**CHADDR（MAC地址）**是否一致功能，如果两个MAC地址相同就进行数据转发，如果两个MAC地址不同就把丢弃报文。

备注：

-不过目前黑客攻击手动越来越强，这种防御方式作用也越来越小

-目前黑客主机在发起DHCP饿死攻击的时候，不在仅仅修改DHCP报文中CHADDR（MAC地址）

-黑客通常会将帧头的**源MAC**地址和DHCP报文中的**CHADDR（MAC地址）**同时进行修改，每一个攻击报文中，两个MAC地址都是相同的，所以通过一致性检查，无法有效的防御此类攻击，

所以目前为了防止DHCP 饿死攻击，不仅需要配置DHCP Snooping ,还需要配置端口安全，通过端口安全可以更加有效的防止DHCP饿死攻击

4、DHCP饿死攻击实验

1）拓扑

2）需求：为了防止黑客主机发起DHCP饿死攻击，在公司的交换机SW1中部署DHCP Snooping

  使用Snooping 在防御DHCP饿死攻击

如果防止：开启DHCP Snooping，开启MAC地址一致性检查

3）配置步骤：

第一步：配置合法DHCP服务器

  --开启dhcp功能

  --创建IP地址池

  --定义网段

  --定义网关

  --定义dns

  --给vlanif1 配置IP地址--网关地址（使用默认的vlanif1）

  --在vlanif1 接口下开启全局的dhcp功能

第二步：在SW1上配置DHCP Snooping 

  --SW1交换机连接PC的接口，开启dhcp snooping功能

  --SW1交换机连接PC的所有接口都开启MAC地址一致性检测

    我们并不清楚那个接口连接的是黑客机，所以一般建议在所有接口开启一致性检查

4）配置命令
第一步：配置合法DHCP服务器：
SW3配置：
[SW3-DHCP]dhcp enable    //开启dhcp 功能
[SW3-DHCP]ip pool tedu2  //创建IP地址池
[SW3-DHCP-ip-pool-tedu2]network 192.168.20.0 mask 24   //定义网段
[SW3-DHCP-ip-pool-tedu2]gateway-list 192.168.20.254   //定义网关
[SW3-DHCP-ip-pool-tedu2]dns-list 8.8.8.8              //定义dns
[SW3-DHCP-ip-pool-tedu2]quit
[SW3-DHCP]int vlanif1                 //进入vlanif 1
[SW3-DHCP-Vlanif1]ip address 192.168.20.254 24   //给vlanif 1 配置IP地址--网关地址
[SW3-DHCP-Vlanif1]dhcp select global   //在vlanif 1虚接口下开启基于全局的dhcp

第二步配置：在SW1上配置DHCP Snooping
SW1配置： 
[SW1]dhcp enable   //开启dhcp 功能
[SW1]dhcp snooping enable  //开启dhcp snooping 功能
[SW1]port-group group-member g0/0/1 to g0/0/3
[SW1-port-group]dhcp snooping enable  //在连接PC的接口下开启dhcp snooping 
[SW1-port-group]dhcp snooping check dhcp-chaddr enable   //开启MAC地址一致性检查 
[SW1-port-group]quit
[SW1]int g0/0/4
[SW1-GigabitEthernet0/0/4]dhcp snooping trusted   //开启信任端口

备注：我们发现开启地址一致性检测，并不能真的防御住DHCP饿死攻击
因为现在的新型攻击都是将源MAC地址和DHCP报文中的CHADDR一起修改，所以地址一致性检测不出异常
所以我们可以使用端口安全来做DHCP 饿死攻击防御