DHCP Snooping是啥���?
DHCP Snooping是DHCP的一種安全特性����,用來保證DHCP客戶端能夠正確的從DHCP服務(wù)器獲取IP地址,防止網(wǎng)絡(luò)中針對DHCP的攻擊��。
DHCP Snooping是如何防止DHCP攻擊的呢��?
DHCP���,動態(tài)主機配置協(xié)議����,在IPv4網(wǎng)絡(luò)中為客戶端動態(tài)分配IP地址���,采用客戶端/服務(wù)器通信模式����,由客戶端(DHCP Client)向服務(wù)器(DHCP Server)提出申請���,服務(wù)器返回為客戶端分配的IP信息�,包括IP地址�、缺省網(wǎng)關(guān)、DNS Server等參數(shù)���。
DHCP組網(wǎng)中包括以下兩種角色:
- DHCP客戶端(DHCP Client):通過DHCP協(xié)議請求獲取IP地址的設(shè)備�����,如IP電話��、PC等����。
- DHCP服務(wù)器(DHCP Server):負責(zé)為DHCP客戶端分配IP地址的設(shè)備。
DHCP常見攻擊方式
DHCP Server仿冒攻擊:非法用戶通過仿冒DHCP Server�,為客戶端分配錯誤的IP地址,導(dǎo)致客戶端無法正常接入網(wǎng)絡(luò)����。
DHCP報文仿冒攻擊:
1、已獲取到IP地址的合法用戶通過向服務(wù)器發(fā)送DHCP Request報文用以續(xù)租IP地址�。非法用戶冒充合法用戶不斷向DHCP Server發(fā)送DHCP Request報文來續(xù)租IP地址,導(dǎo)致到期的IP地址無法正?�;厥?,新的合法用戶不能再獲得IP地址�。
2、已獲取到IP地址的合法用戶通過向服務(wù)器發(fā)送DHCP Release報文用以釋放IP地址����。非法用戶仿冒合法用戶向DHCP Server發(fā)送DHCP Release報文���,使合法用戶異常下線。
DHCP報文泛洪攻擊:
非法用戶在短時間內(nèi)發(fā)送大量DHCP報文�����,使DHCP Server無法正常處理報文�����,從而無法為客戶端分配IP地址����。
DHCP Server拒絕服務(wù)攻擊
1、非法用戶通過惡意申請IP地址�,使DHCP服務(wù)器中的IP地址快速耗盡,無法為合法用戶再分配IP地址
2�、DHCP Server通常僅根據(jù)DHCP Request報文中的CHADDR(Client Hardware Address)字段來確認客戶端的MAC地址。非法用戶通過不斷改變CHADDR字段向DHCP Server申請IP地址�,使DHCP服務(wù)器中的IP地址快速耗盡,無法為合法用戶再分配IP地址����。
DHCP Snooping針對不同的DHCP攻擊方式提供相應(yīng)的防御方法�,其一般配置在接入交換機上�����。
DHCP Server仿冒攻擊
配置接入交換機與DHCP Server相連的接口為信任接口�����,只有信任接口能夠接收和轉(zhuǎn)發(fā)DHCP報文����。
DHCP報文仿冒攻擊
在DHCP Server為客戶端分配IP地址過程中,根據(jù)DHCP報文生成DHCP Snooping綁定表����,該綁定表記錄MAC地址、IP地址�、租約時間、VLAN ID���、接口等信息�����,然后通過DHCP報文與綁定表的合法性檢查��,丟棄非法報文�,防止DHCP報文仿冒攻擊����。
DHCP報文泛洪攻擊
限制DHCP報文上送CPU的速率。
DHCP Server拒絕服務(wù)攻擊
1�����、通過限制DHCP Snooping綁定表的個數(shù)�����,限制用戶接入數(shù)��。當(dāng)用戶數(shù)達到指定值時����,任何用戶將無法通過此接口申請到IP地址。
2�、通過檢查DHCP Request報文幀頭MAC與DHCP數(shù)據(jù)區(qū)中CHADDR字段的一致性,丟棄不一致的報文�,防止非法用戶攻擊。
DHCP Snooping的各種防御方法應(yīng)該怎么配置呢?
DHCP PC1和DHCP PC2通過SwitchA向DHCP Server申請IP地址�����。通過在SwitchA上配置DHCP Snooping功能��,防止以下類型的攻擊:
- DHCP Server仿冒攻擊
- DHCP報文仿冒攻擊
- DHCP報文泛洪攻擊
- DHCP Server拒絕服務(wù)攻擊��、
S交換機的配置方法如下:
1�����、全局和接口下使能DHCP Snooping功能����。
[SwitchA] dhcp enable //需要先全局使能DHCP功能[SwitchA] dhcp snooping enable[SwitchA] interface gigabitethernet 0/0/1[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable[SwitchA-GigabitEthernet0/0/1] quit[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable[SwitchA-GigabitEthernet0/0/2] quit
2、連接DHCP Server的接口配置為信任接口��,防止DHCP Server仿冒者攻擊�����。
[SwitchA] interface gigabitethernet 0/0/4[SwitchA-GigabitEthernet0/0/4] dhcp snooping enable[SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted[SwitchA-GigabitEthernet0/0/4] quit
3���、DHCP報文與綁定表的合法性檢查���,防止DHCP報文仿冒攻擊�����。
[SwitchA] dhcp enable[SwitchA] dhcp snooping check dhcp-request enable vlan 10 //對VLAN 10內(nèi)的用戶進行合法性檢查
4、限制DHCP報文上送CPU的個數(shù)�����,防止DHCP報文泛洪攻擊����。
[SwitchA] dhcp snooping check dhcp-rate enable //使能對DHCP報文上送CPU的速率檢測功能[SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多處理90個DHCP報文
5、配置DHCP Snooping綁定表個數(shù)和DHCP Request報文幀頭源MAC地址與CHADDR字段一致性檢查功能��,防止DHCP Server拒絕服務(wù)攻擊�。
[SwitchA] dhcp snooping max-user-number 2 vlan 10 //配置VLAN 10內(nèi)只允許兩個用戶接入[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10
