DHCP***防御處理的示例分析

這篇文章主要為大家展示了“DHCP***防御處理的示例分析”，內(nèi)容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“DHCP***防御處理的示例分析”這篇文章吧。

     DHCP應(yīng)用背景：在局域網(wǎng)組網(wǎng)規(guī)模相對(duì)較大的環(huán)境中，為了提高網(wǎng)絡(luò)管理效率減少網(wǎng)絡(luò)管理中的繁復(fù)勞動(dòng)我們一般會(huì)在局域網(wǎng)中架設(shè)DHCP服務(wù)器，并通過該服務(wù)器來自動(dòng)為普通工作站提供合法IP地址提供上網(wǎng)服務(wù)；當(dāng)局域網(wǎng)中的普通工作站連接到局域網(wǎng)絡(luò)后，它會(huì)自動(dòng)向局域網(wǎng)網(wǎng)絡(luò)發(fā)送上網(wǎng)參數(shù)請(qǐng)求數(shù)據(jù)包，DHCP服務(wù)器一旦接受到來自客戶端系統(tǒng)的上網(wǎng)請(qǐng)求信息后，會(huì)自動(dòng)為其提供合適的IP地址、網(wǎng)絡(luò)掩碼地址、網(wǎng)關(guān)地址以及DNS地址等參數(shù)，獲得相應(yīng)合法地址后客戶端系統(tǒng)就能正常訪問網(wǎng)絡(luò)了，很顯然DHCP服務(wù)器的穩(wěn)定性將直接影響整個(gè)局域網(wǎng)網(wǎng)絡(luò)的工作穩(wěn)定。

　　如果在局域網(wǎng)中同時(shí)還存在另外一臺(tái)不合法的DHCP服務(wù)器時(shí)或DHCP服務(wù)器遭受惡意***時(shí)，整個(gè)局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性將會(huì)受到破壞，普通工作站的上網(wǎng)將因無法獲得可用的合法IP地址而出現(xiàn)混亂。為了讓局域網(wǎng)網(wǎng)絡(luò)運(yùn)行始終穩(wěn)定，我們需要想辦法保護(hù)合法DHCP服務(wù)器的運(yùn)行安全性，以避免其受到惡意***或不合法DHCP服務(wù)器的“沖擊”！

下面看一個(gè)圖例：

1、交換機(jī)層面解決這個(gè)問題
通過交換機(jī)的端口安全性設(shè)置每個(gè)客戶端主機(jī) DHCP 請(qǐng)求指定端口上使用唯一的 MAC 地址，通常 DHCP 服務(wù)器通過 DHCP 請(qǐng)求的報(bào)文中的 CHADDR 段判斷客戶端 MAC 地址，通常這個(gè)地址和客戶端的MAC地址相同，如果***者不修改客戶端的 MAC 而修改 DHCP 報(bào)文中 CHADDR ，實(shí)施 Dos ***， Port Security 就不起作用了， DHCP 嗅探技術(shù)可以檢查 DHCP 請(qǐng)求報(bào)文中的 CHADDR 字段，判斷該字段是否和 DHCP 嗅探表相匹配。這項(xiàng)功能在有些交換機(jī)是缺省配置的，有些交換機(jī)需要配置，具體需要參考相關(guān)交換機(jī)的配置文檔。

另外利用DHCP Snooping技術(shù)，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè)DHCP綁定條目包含客戶端地址(一個(gè)靜態(tài)地址或者一個(gè)從DHCP服務(wù)器上獲取的地址)、客戶端MAC地址、端口、VLAN ID、租借時(shí)間、綁定類型(靜態(tài)的或者動(dòng)態(tài)的)。

當(dāng)交換機(jī)開啟了 DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

基本配置命令示例如下：

　　全局命令：

　　ip dhcp snooping vlan 10，20          * 定義哪些 VLAN 啟用 DHCP 嗅探

　　ip dhcp snooping

　　接口命令：

　　ip dhcp snooping trust

　　no ip dhcp snooping trust (Default)

　　ip dhcp snooping limit rate 10 (pps)    * 一定程度上防止 DHCP 拒絕服務(wù)***

　　手工添加 DHCP 綁定表：

　　ip dhcp snooping binding  000b.db1d.6ccd vlan 10 192.168.1.2  interface gi1/1  expiry 1000

　　導(dǎo)出 DHCP 綁定表到 TFTP 服務(wù)器

　　ip dhcp snooping database tftp:// 10.1.1 .1/file

　　需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh 、ftp 、 tftp) 或?qū)С龅街付?TFTP 服務(wù)器上，否則交換機(jī)重啟后 DHCP 綁定表丟失，對(duì)于已經(jīng)申請(qǐng)到 IP 地址的設(shè)備在租用期內(nèi)，不會(huì)再次發(fā)起 DHCP 請(qǐng)求。如果此時(shí)交換機(jī)己經(jīng)配置了 DAI 和 IP Source Guard 技術(shù)，這些用戶將不能訪問網(wǎng)絡(luò)。

   注：對(duì)于類似Gobbler的DHCP 服務(wù)的DOS***可以利用Port Security限制源MAC地址數(shù)目加以阻止，對(duì)于有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突也可以利用DAI和IP Source Guard技術(shù)。有些復(fù)雜的DHCP***工具可以產(chǎn)生單一源MAC地址、變化DHCP Payload信息的DHCP請(qǐng)求，當(dāng)打開DHCP偵聽功能，交換機(jī)對(duì)非信任端口的DHCP請(qǐng)求進(jìn)行源MAC地址和DHCP Payload信息的比較，如不匹配就阻斷此請(qǐng)求。
 

2、客戶端服務(wù)器層面解決這個(gè)問題
  客戶端處理：在客戶端主機(jī)上我們可以在DOS命令行提示符下執(zhí)行“arp -s 192.168.2.45 00-01-02-03-04-05"來綁定客戶端的IP和MAC，同時(shí)執(zhí)行“arp -s 192.168.2.1  00-01-02-6E-3D-2B” 來綁定網(wǎng)關(guān)的IP和MAC，或者在客戶端主機(jī)上安裝一些ARP防病毒軟件來避免此類的***。
         一旦發(fā)現(xiàn)自己的客戶端不能正常上網(wǎng)時(shí)，我們可以在DOS命令行提示符下執(zhí)行“ipconfig/release”字符串命令，來將之前獲得的不正確上網(wǎng)參數(shù)釋放出來。

　　然后嘗試執(zhí)行“ipconfig/renew”字符串命令，來重新向局域網(wǎng)發(fā)送上網(wǎng)參數(shù)請(qǐng)求數(shù)據(jù)包，如果上述命令返回錯(cuò)誤的結(jié)果信息，那么我們可以在本地系統(tǒng)運(yùn)行對(duì)話框中繼續(xù)執(zhí)行“ipconfig/release”、“ipconfig /renew”字符串命令，直到客戶端工作站獲得有效的上網(wǎng)參數(shù)信息為止。

服務(wù)器端處理：
   通常情況下，局域網(wǎng)中的普通工作站安裝使用的都是Windows操作系統(tǒng)，在Windows工作站系統(tǒng)為主的局域網(wǎng)環(huán)境中，我們可以通過域管理模式來保護(hù)合法DHCP服務(wù)器的運(yùn)行安全性，同時(shí)過濾不合法的DHCP服務(wù)器，確保該DHCP服務(wù)器不會(huì)為局域網(wǎng)普通工作站分配錯(cuò)誤的上網(wǎng)參數(shù)信息。我們只要在局域網(wǎng)域控制器中，將合法有效的DHCP服務(wù)器主機(jī)加入到活動(dòng)目錄中，就能保證局域網(wǎng)中的所有普通工作站都會(huì)自動(dòng)從合法有效的DHCP服務(wù)器那里，獲得正確的上網(wǎng)參數(shù)信息了。這是因?yàn)橛蛑械钠胀üぷ髡鞠蚓W(wǎng)絡(luò)發(fā)送廣播信息，申請(qǐng)上網(wǎng)參數(shù)地址時(shí)，位于同一個(gè)域中的合法有效的DHCP服務(wù)器，會(huì)自動(dòng)優(yōu)先響應(yīng)普通工作站的上網(wǎng)請(qǐng)求，如果局域網(wǎng)指定域中的DHCP服務(wù)器不存在或失效時(shí)，那些沒有加入指定域中的不合法DHCP服務(wù)器才有可能響應(yīng)普通工作站的上網(wǎng)請(qǐng)求。

  當(dāng)然我們也可以嘗試通過域管理加ISA安全管理的方式來實(shí)現(xiàn)更為細(xì)致的管理和控制。在域中設(shè)置一臺(tái)單獨(dú)的DHCP服務(wù)器，DHCP服務(wù)器通過MAC地址來為客戶端分發(fā)固定的IP，ISA服務(wù)器發(fā)布DHCP服務(wù)器并通過不同的策略設(shè)置來限定客戶端的權(quán)限，這樣可以實(shí)現(xiàn)粒度更為細(xì)致的安全管理。

注：域管理模式對(duì)于局域網(wǎng)規(guī)模比較小的單位來說，幾乎沒有多大實(shí)際意義，因?yàn)樾∫?guī)模的局域網(wǎng)幾乎都是工作組工作模式，這種工作模式下合法有效的DHCP服務(wù)器是無法得到安全保護(hù)的。

以上是“DHCP***防御處理的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！