交換網絡安全防範系列二之DHCP攻擊的防範

<b></b>

<b>2.1</b><b>采用</b><b>DHCP</b><b>管理的常見問題：</b>

　　采用 DHCP server 可以自動為使用者設定網絡 IP 位址、掩碼、網關、 DNS 、 WINS 等網絡參數，簡化了使用者網絡設定，提高了管理效率。但在 DHCP 管理使用上也存在着一些另網管人員比較問題，常見的有：

　　• DHCP server 的冒充。

　　• DHCP server 的 Dos 攻擊。

　　• 有些使用者随便指定位址，造成網絡位址沖突。

　　由于 DHCP 的運作機制，通常伺服器和用戶端沒有認證機制，如果網絡上存在多台 DHCP 伺服器将會給網絡照成混亂。由于使用者不小心配置了 DHCP 伺服器引起的網絡混亂非常常見，足可見故意人為破壞的簡單性。通常黑客攻擊是首先将正常的 DHCP 伺服器所能配置設定的 IP 位址耗盡，然後冒充合法的 DHCP 伺服器。最為隐蔽和危險的方法是黑客利用冒充的 DHCP 伺服器，為使用者配置設定一個經過修改的 DNS server ，在使用者毫無察覺的情況下被引導在預先配置好的假金融網站或電子商務網站，騙取使用者帳戶和密碼，這種攻擊是非常惡劣的。

　　對于 DHCP server 的 Dos 攻擊可以利用前面将的 Port Security 和後面提到的 DAI 技術，這部分着重介紹 DHCP冒用的方法技術。

<b>2.2DHCP Snooping</b><b>技術概況</b>

　　DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP資訊，這些資訊是指來自不信任區域的DHCP資訊。DHCP Snooping綁定表包含不信任區域的使用者MAC位址、IP位址、租用期、VLAN-ID 接口等資訊，如下表所示：

MacAddress

IpAddress

Lease

Type

VLAN

Interface

00:0D:60:2D:45:0D

10.149.3.13

600735

dhcp-snooping

100

G1/0/7

　　這張表不僅解決了 DHCP使用者的IP和端口跟蹤定位問題，為使用者管理提供友善，而且還供給動态ARP檢測DAI和IP Source Guard使用。

　　Dhcp-snooping将交換機上的端口分為信任端口和不信任端口，對于不信任端口的 DHCP 封包進行截獲和嗅探， DROP 掉來自這些端口的非正常 DHCP 封包，如下圖所示： 

<b>2.3 </b><b>配置</b>

IOS 全局指令：

ip dhcp snooping vlan 100,200 /* 定義哪些 VLAN 啟用 DHCP 嗅探

ip dhcp snooping /*啟用DHCP-SNOOPING功能

ip dhcp snooping database tftp:// 10.1.1 .1/directory/file/*導出 DHCP 綁定表到 TFTP 伺服器。

需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或導出到指定TFTP伺服器上，否則交換機重新開機後DHCP綁定表丢失，對于已經申請到IP位址的裝置在租用期内，不會再次發起DHCP請求，如果此時交換機己經配置了下面所講到的DAI和IP Source Guard技術，這些使用者将不能通路網絡。

接口指令：

ip dhcp snooping trust /*定義該接口為信任端口

ip dhcp snooping limit rate 10  /* 定義DHCP封包的發送率，一定程度上防止 DHCP 拒絕服務攻擊

<b>2.4</b><b>進階防範</b>

　　通過交換機的端口安全性設定每個DHCP請求指定端口上使用唯一的MAC位址，通常DHCP伺服器通過DHCP請求的封包中的CHADDR段判斷用戶端MAC位址，通常這個位址和用戶端的真是IP相同，但是如果攻擊者不修改用戶端的MAC而修改DHCP封包中CHADDR，實施Dos攻擊，Port Security就不起作用了，DHCP嗅探技術可以檢查DHCP請求封包中的CHADDR字段，判斷該字段是否和DHCP嗅探表相比對。這項功能在有些交換機是預設配置的，有些交換機需要配置，具體需要參考相關交換機的配置文檔。

    本文轉自hexianguo 51CTO部落格，原文連結：http://blog.51cto.com/xghe110/90867，如需轉載請自行聯系原作者