DHCP Snooping场景——防止DHCP服务器私接

已于 2024-04-16 15:06:37 修改
阅读量364 收藏 2
点赞数 1
文章标签: 网络 服务器 linux
于 2024-04-12 11:27:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58574637/article/details/137635639
版权

问题现象:

由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数,以致终端无法正常上网。

解决方法:

为了防止DHCP Server仿冒者攻击,可在DHCP服务器与DHCP客户端中间的网络设备上配置对应接口的“信任(Trusted)/非信任(Untrusted)”工作模式。

将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。

配置命令:

案例一:G0/0/1连接服务器,配置为trusted口,其它端口都设置为untrusted口

 #
dhcp enable
#
dhcp snooping enable
#
interface GigabitEthernet0/0/1
 dhcp snooping enable
 dhcp snooping trusted
#
interface GigabitEthernet0/0/2
 dhcp snooping enable
#
interface GigabitEthernet0/0/3
 dhcp snooping enable
#

开启DHCP Snooping后,各端口对DHCP包处理结果

接口下DHCP Snooping状态

   收到DHCP请求报文

(Discover与Request)

收到DHCP响应报文

(Offer与Ack)

接口下使能dhcp snooping enabledhcp snooping trusted接DHCP服务器的端口配置为信任端口,故端口入向一般不会收到请求报文,故不做分析转发

dhcp snooping untrusted

(默认状态)

接DHCP客户端的端口配置为非信任端,当端口入向收到请求报文,转发给所有的信任接口丢弃
接口下未使能dhcp snooping enable转发给所有端口转发

 

 

 

 

 

 

 

情况一:当G0/0/2口(非信任端口)连接服务器,G0/0/18口(接口未使能DHCP Snooping)连接客户端,客户端无法获取IP,G0/0/2抓包会发现只有Discover与Offer包,而G0/0/18只有Discover的包,证明非信任端口在收到DHCP响应报文时会丢弃。

情况二:当G0/0/2口(非信任端口)连接服务器,G0/0/3口(非信任端口)连接客户端,客户端无法获取IP,G0/0/2抓不到任何DHCP包,G0/0/3只能抓包Discover包,证明非信任端口G0/0/3收到请求报文时,只把请求报文转发给信任端口。

情况三:当G0/0/1口(信任端口)连接服务器,G0/0/2(非信任端口)与G0/0/18口(接口未使能DHCP Snooping)连接客户端,G0/0/2与G0/0/18口暂能正常获取IP。

weixin_58574637
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DHCP snooping解决私接DHCP服务器问题.doc
02-17
你又不可能不让他接,让他接又可能会导致其他的终端设备不能正确的获取到DHCP服务器分配的ip地址,这是一件令人头疼的事儿,不过,有了DHCP snooping以后,可以很好的解决我们企业网违法私接DHCP服务器的问题。
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在...
【HCIA 04-3】DHCP安全 & 解决私接路由器
sxhuafeng的博客
12-05 383
DHCP安全(dhcp snooping
轻松运维之防止私自启用DHCP服务
weixin_33946020的博客
02-21 552
老实说,做一个网络管理员真不是一件轻松的事情,你在工作中总是会遇到各种各样的问题,这其中不仅仅有来自外部的***,甚至相当一部分是来自你所在企业内部用户的威胁。在企业里面,总是会有一部分用户或者出于无知,或者是故意的引发一些IT问题,给你的工作带来困扰。 想想这个情景吧,某个内部用户私自接入了一台路由器并在不知道的情况下启用了DHCP 服务,你很容易就能想到...
华为企业交换机,用DHCP SNOOPING防止私接小路由实验
热门推荐
NeverGUM的博客
07-31 1万+
导语: 在企业中,数据的安全一向是重要的,为了防止客户端私接小路由影响企业内部网络,华为企业交换机有这样的命令 Dhcp snooping 思路: 合法的DHCP客户端使用,dhcp snooping trusted 不合法的DHCP客户端使用,dhcp snooping enable 实验: 我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下接了接入交换机(A...
DHCP 解决单位网络私接路由器的办法
90挂墙_运程员
10-16 6129
单位有多台华为交换机,核心交换机s9300系列,各楼栋交换机S5700。其中设置2台DHCP服务器一主一备,配置Dhcp-relay。 最近发现有人在办公室误将网线插入办公室的家用路由器lan口,并且还开启了家用路由器dhcp,造成该网段电脑收到的都是非法的路由器dhcp信息,无法正常上网,对办公影响很大。 经查找资料,发现启用交换机的DHCP Snooping功能,直接屏蔽掉那个非法路由器就可以了。 dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正
私接路由如何防范?怎样禁止内网私接路由器?
weixin_34406086的博客
04-28 4412
现在的便携式路由器非常的小巧轻便,而且即插即用,很受大家的喜爱。但是,对于局域网的网管人员来说,这个小东西造成的危害可不小,比如:私接设备绕开管控,占用大量带宽资源。导致IP地址冲突,影响网络正常运行。提供不合法的DHCP服务,使局域网其他客户机获取到错误的IP地址。我相信大部分网络管理人员都被它坑过。今天我就来分享下一些常见的解决方案。最根本的解决方法,是在交换机上进行限制...
DHCP 服务器
ITmoster的博客
09-13 4442
DHCP (动态主机配置协议) 是一种网络协议,它使 DHCP 服务器/网络服务器能够为请求设备动态分配 IP 地址、子网掩码、默认网关和其他网络配置参数。它通过有效地自动分配 IP 并最大限度地减少 IP 浪费和 IP 冲突,自动执行网络管理员的普通 IP 配置任务。DHCP 服务器可以从其地址池中为网络设备动态分配 IP 地址,并回收它们。
dhcp snooping.doc
05-24
本文详细介绍了DHCPsnooping的技术要点,常见问题,DHCP Option 82的技术细节等
配置DHCP Snooping功能
06-19
配置DHCP Snooping功能
DHCP Snooping 技术白皮书
04-29
DHCP Snooping 技术白皮书
H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer
weixin_34391445的博客
05-10 1774
H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。 正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和d...
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 233
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 307
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 550
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
MQTT 异常断开(一)
最新发布
m0_50668851的博客
05-21 166
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
netstat协议
lovemelovefish的博客
05-15 389
本机各端口的网络连接情况。
DHCP snooping 场景
07-08
DHCP snooping可以应用于各种网络场景,以提升网络的安全性和可靠性。以下是一些常见的DHCP snooping应用场景: 1. 企业内部网络:在企业内部网络中,DHCP snooping可以用于防止恶意DHCP服务器的攻击。它可以验证DHCP服务器发送的报文是否合法,并阻止未经授权的DHCP服务器分配IP地址给设备。 2. 公共场所网络:在公共场所(如图书馆、咖啡厅、机场等)提供的无线网络中,使用DHCP snooping可以防止用户之间的干扰和攻击。它可以确保每个用户只能接收到来自可信任DHCP服务器的合法IP地址配置。 3. 数据中心网络:在数据中心网络中,DHCP snooping可以用来保护服务器和虚拟机的安全。它可以限制只有授权的DHCP服务器可以为服务器和虚拟机提供网络配置信息,避免恶意DHCP服务器的干扰或攻击。 4. 无线局域网(WLAN):在WLAN中,DHCP snooping可以用于保护无线接入点(AP)和无线客户端设备的安全。它可以防止未经授权的DHCP服务器分配IP地址给无线客户端设备,避免恶意攻击或干扰。 5. 云计算环境:在云计算环境中,DHCP snooping可以帮助确保虚拟机在获取网络配置信息时的安全性。它可以限制只有授权的DHCP服务器可以为虚拟机提供网络配置,避免未经授权的DHCP服务器的干扰或攻击。 综上所述,DHCP snooping可以在各种网络场景中应用,以提供更安全和可靠的网络环境。它对于防止恶意DHCP服务器的攻击、保护网络设备和用户的安全至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值