DHCP服务如何配置才能尽量减少被攻击的可能

 时间:2019-07-15 11:50:08来源:东方头条

DHCP Snooping是啥?

DHCP Snooping是DHCP的一种安全特性,用来保证DHCP客户端能够正确的从DHCP服务器获取IP地址,防止网络中针对DHCP的攻击。DHCP Snooping是如何防止DHCP攻击的呢?

DHCP,动态主机配置协议,在IPv4网络中为客户端动态分配IP地址,采用客户端/服务器通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出申请,服务器返回为客户端分配的IP信息,包括IP地址、缺省网关、DNS Server等参数。

DHCP组网中包括以下两种角色:

DHCP客户端(DHCP Client):通过DHCP协议请求获取IP地址的设备,如IP电话、PC等。

DHCP服务器(DHCP Server):负责为DHCP客户端分配IP地址的设备。DHCP常见攻击方式

DHCP Server仿冒攻击:非法用户通过仿冒DHCP Server,为客户端分配错误的IP地址,导致客户端无法正常接入网络。

DHCP报文仿冒攻击:

1、已获取到IP地址的合法用户通过向服务器发送DHCP Request报文用以续租IP地址。非法用户冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,导致到期的IP地址无法正常回收,新的合法用户不能再获得IP地址。

2、已获取到IP地址的合法用户通过向服务器发送DHCP Release报文用以释放IP地址。非法用户仿冒合法用户向DHCP Server发送DHCP Release报文,使合法用户异常下线。

DHCP报文泛洪攻击:

非法用户在短时间内发送大量DHCP报文,使DHCP Server无法正常处理报文,从而无法为客户端分配IP地址。

DHCP Server拒绝服务攻击

1、非法用户通过恶意申请IP地址,使DHCP服务器中的IP地址快速耗尽,无法为合法用户再分配IP地址

2、DHCP Server通常仅根据DHCP Request报文中的CHADDR(Client Hardware Address)字段来确认客户端的MAC地址。非法用户通过不断改变CHADDR字段向DHCP Server申请IP地址,使DHCP服务器中的IP地址快速耗尽,无法为合法用户再分配IP地址。DHCP Snooping针对不同的DHCP攻击方式提供相应的防御方法,其一般配置在接入交换机上。

DHCP Server仿冒攻击

配置接入交换机与DHCP Server相连的接口为信任接口,只有信任接口能够接收和转发DHCP报文。

DHCP报文仿冒攻击

在DHCP Server为客户端分配IP地址过程中,根据DHCP报文生成DHCP Snooping绑定表,该绑定表记录MAC地址、IP地址、租约时间、VLAN ID、接口等信息,然后通过DHCP报文与绑定表的合法性检查,丢弃非法报文,防止DHCP报文仿冒攻击。

DHCP报文泛洪攻击

限制DHCP报文上送CPU的速率。

DHCP Server拒绝服务攻击

1、通过限制DHCP Snooping绑定表的个数,限制用户接入数。当用户数达到指定值时,任何用户将无法通过此接口申请到IP地址。

2、通过检查DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段的一致性,丢弃不一致的报文,防止非法用户攻击。DHCP Snooping的各种防御方法应该怎么配置呢?

DHCP PC1和DHCP PC2通过SwitchA向DHCP Server申请IP地址。通过在SwitchA上配置DHCP Snooping功能,防止以下类型的攻击:

DHCP Server仿冒攻击

DHCP报文仿冒攻击

DHCP报文泛洪攻击

DHCP Server拒绝服务攻击、

S交换机的配置方法如下:

1、全局和接口下使能DHCP Snooping功能。[SwitchA] dhcp enable //需要先全局使能DHCP功能

[SwitchA] dhcp snooping enable

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet 0/0/2

[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable

[SwitchA-GigabitEthernet0/0/2] quit

2、连接DHCP Server的接口配置为信任接口,防止DHCP Server仿冒者攻击。[SwitchA] interface gigabitethernet 0/0/4

[SwitchA-GigabitEthernet0/0/4] dhcp snooping enable

[SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted

[SwitchA-GigabitEthernet0/0/4] quit

3、DHCP报文与绑定表的合法性检查,防止DHCP报文仿冒攻击。[SwitchA] dhcp enable

[SwitchA] dhcp snooping check dhcp-request enable vlan 10 //对VLAN 10内的用户进行合法性检查

4、限制DHCP报文上送CPU的个数,防止DHCP报文泛洪攻击。[SwitchA] dhcp snooping check dhcp-rate enable //使能对DHCP报文上送CPU的速率检测功能

[SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多处理90个DHCP报文

5、配置DHCP Snooping绑定表个数和DHCP Request报文帧头源MAC地址与CHADDR字段一致性检查功能,防止DHCP Server拒绝服务攻击。[SwitchA] dhcp snooping max-user-number 2 vlan 10 //配置VLAN 10内只允许两个用户接入

[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10