基于DHCP分配规则实现局域网主动防御

漫跑者也

已于 2024-07-11 22:34:29 修改

阅读量695

点赞数 19

分类专栏：主动安全文章标签：安全网络网络安全

于 2024-07-11 22:26:22 首次发布

本文链接：https://blog.csdn.net/yuewguo/article/details/140363504

版权

主动安全专栏收录该内容

1 篇文章 0 订阅

订阅专栏

1. 引言

随着互联网的高速发展，越来越多的终端设备被接入到网络空间里，各式各样的软件在设备上运行着，给人们的生活带来了极大便利，而随之产生的网络空间的安全问题也突显出来。这些软件存在着大量的未知和已知的漏洞，黑客利用漏洞入侵网络，并利用扫描工具刺探网络的内部结构，最终将危险扩散到整个网络。

传统的网络防护手段基于安全策略规则和报文特征识别。通常是在攻击发生之后分析攻击的特征，再配置对应的规则来加以防护。这种被动式的网络防护具有明显的滞后性，当发现攻击时往往已对网络空间造成了损失，甚至已大范围扩散。

主动防御技术是网络安全领域的一门新兴技术，就是在入侵行为对网络或系统造成危害之前，识别可疑威胁行为，以便及时进行网络隔离或流量诱捕。近几年，网络空间的主动防御技术成为越来越重要的研究课题。

2. DHCP分配规则

2.1 DHCP协议

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一个局域网的网络协议。通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息。

2.2 定义DHCP分配规则

动态IP地址分配主要由DHCP服务分配，网络管理员可以根据网络规划预留出一定比例的IP地址作为保留IP地址。这部分保留IP地址不会分配给任何用户使用。

假定DHCP地址池内的IP地址的集合为A，允许分配给用户的IP地址的集合为B，保留IP地址的集合为C，则A、B、C之间满足以下关系：

A = B ∪ C

Φ= B ∩ C

2.3 诱饵IP地址

由于保留IP地址不会分配给任何用户使用，因此可以作为诱饵IP地址来使用。诱饵IP地址m的定义为：

m ∈ C

3. 主动防御原理

3.1 网络安全设备

网络安全设备主要是防火墙和入侵防御系统（IPS，Intrusion Prevention System）。防火墙主要实现基本的包过滤策略，主要功能是限制对IP地址和端口的访问，一般工作在网络层和传输层。而IPS能分析到应用层的数据包内容，通过模式匹配去阻断非法访问。

3.2 识别可疑访问

网络管理员将DHCP分配规则配置在网络安全设备上，网络安全设备便能根据预设的规则判定IP地址的有效性。同样，假定允许分配给用户的IP地址的集合为B，保留IP地址的集合为C。对于IP地址n，满足 n ∈ B，则将其识别为有效IP地址；满足 n ∈ C，则将其识别为非法IP地址。

黑客成功入侵局域网之后，通常会利用工具大范围扫描IP地址来刺探网络结构，以便后续扩散和传播网络威胁。此时，也正是主动防御的最佳时机。在黑客大范围扫描IP的过程中必然会触碰到网络内的保留IP地址。网络安全设备一旦检测到报文的源IP地址或目的IP地址为非法IP地址，则立即判定其为可疑访问，进行下一步分析或处理。

3.3 主动防御

一旦网络流量被识别成可疑访问，网络安全设备则可以根据实际网络对安全的敏感程度采取差异化防御措施，或隔离网络，或诱捕流量。如表1所示：

4. 基于规则的动态网络

主动防御技术的关键在于识别可疑访问，而DHCP分配规则中保留IP地址作为诱饵IP地址。通过诱饵IP地址的被访问事件，网络安全设备能够快速、精准的识别出可疑访问。但是，设计良好的DHCP分配规则却不是一件容易的事。比如，DHCP规则中保留IP地址越多，越容易检测到可疑访问，但同时也就意味着分配给用户使用的IP地址就会减少。

4.1 易用性

假如为DHCP保留了100个IP地址，从实用和维护的角度考虑，不应让网络管理员将这100个IP地址逐个手工录入DHCP服务器和网络安全设备，而应提炼成一个规则。网络管理员只需要将这个规则同时下发到DHCP服务器和网络安全设备，DHCP服务器就知道哪些IP地址可以分配给用户，而网络安全设备则知道哪些IP地址是保留IP地址。