DHCP原理过程分析排错和防止DHCP攻击配置方

  • 格式:docx
  • 大小:320.98 KB
  • 文档页数:3

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)为互联网上主机提供地址和配置参数。DHCP是基于Client/Server工作模式,DHCP服务器需要为主机分配IP地址和提供主机配置参数。

DHCP获取IP地址大概需要如下4步,附件是4步的wiershark抓包,下载地址/data/1903539

1.1.1.1为DHCP服务器地址

图 1 DHCP过程

当一台正常PC发出1,DHCP DISCOVER (广播)之后,如果网络在存在一台攻击DHCP设备,一台正常DHCP服务器,那么此PC都会收到两台服务器的2,DHCP OFFER ,如果PC先收到合法的2,DHCP OFFER ,则可以正常获取IP地址。

但是如果PC先收到非法的2,DHCP OFFER ,侧会得到攻击主机提供的IP地址和DNS服务器等等。这时候PC得到的网关和DNS都可能是假的,以达到中间人攻击(在攻击主机上开启路由转发功能),DNS欺骗钓鱼,会话劫持,密码盗取等等很多,不一一列举。下图是DHCP OFFER 数据包截图,数据包包括了提供的IP地址,DNS等信息。

怎么防止DHCP攻击呢,以思科为例:DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。当交换机开启了

DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP

Request或DHCP

Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

DHCP snooping配置方法:

switch(config)#ip dhcp snooping

switch(config)#ip dhcp snooping vlan 10

/*在Vlan10启用dhcp snooping

switch(config-if)#ip dhcp snooping limit rate 10

/*dhcp包的转发速率,超过后接口就shutdown,默认不限制;

switch(config-if)#ip dhcp snooping trust

/*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ip和mac地址的绑定,默认是非信任端口"

switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10

/*这样可以静态ip和mac一个绑定;

switch(config)#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table

/*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp,tftp,flash皆可。本例中的dhcp_table是文件名,而不是文件夹,同时文件名要手工创建一个。

show ip dhcp snooping

/*显示DHCP探测状态*/

当然,DHCP全是广播,如果交换网络中本来广播就很多,又在交换机上配置上广播限制,则要能会导致DHCP数据包丢失,或者是switch(config-if)#ip dhcp snooping limit rate N 值太小,或者是信任端口配置出错,无法或者获取IP址址。如果发现IP地址获取困难,首先就检查DHCP服务器上是否有足够的地址可以提供。以及服务器能否收到1,DHCP DISCOVER (广播)

对应图中包11。客户PC,能否收到2,DHCP OFFER (广播) 对应图中包12。这两个包非常关键。且要看请求和应答的时间差(11,12号包)。

如果这两个包正常,则接下来检查3,DHCP REQUEST (广播) 对应图中包13

4,DHCPACK得到IP地址 (广播) 对应图中包14,这两步一般不容易出问题。

说到中间人攻击。还要另一种简单的方法,就是基于ARP的中间人攻击。如下图:

攻击主机通过ARP数据包告知被攻击主机,网关就是我,请把跨网段的数据发给我,如下图所示。看起来来像是103和108的主机在询问网关MAC地址,实则是在是告诉网关,103和108的MAC地址为48:d2:24:16:f1:1f,发往它们就的数据发送给我( 48:d2:24:16:f1:1f)就行了。

默认情况下,被攻击主机会掉线。但此时如果在攻击主机上开启路由转发功能,则攻击主机能再次转发数据包,使目标主机不掉线。

ARP攻击的防止方法。

当然如果全使用静态ARP绑定就不会有ARP攻击问题了。另,以思科为例,可以通过DAI技术解决。

思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定,

并动态建立绑定关系.

switch(config)#ip dhcp snooping vlan 7

switch(config)#ip dhcp snooping information option /*默认

switch(config)#ip dhcp snooping

switch(config)#ip arp inspection vlan 7

/*

定义对哪些 VLAN 进行 ARP 报文检测

switch(config)#ip arp inspection validate src-mac dst-mac ip

/*对源,目mac和ip地址进行检查

switch(config-if)#ip dhcp snooping limit rate 10

switch(config-if)#ip arp inspection limit rate 15 /* 定义接口每秒 ARP 报文数量

switch(config-if)#ip arp inspection trust /*信任的接口不检查arp报文,默认是检测

同样,以可以通过交换机端口安全,来解决ARP中间人攻击。

sw1(config-if)#switchport port-security maximum 1

sw1(config-if)#switchport port-security violation ?

protect Security violation protect mode

restrict Security violation restrict mode

shutdown Security violation shutdown mode

故障特征:

/thread-1131564-1.html