网络安全技术第五章——第三节DHCP协议安全（DHCP协议概述、非法DHCP服务器的工作原理与防范手段）

DHCP协议安全

1.DHCP概述：

IP地址是因特网采用的编址方案，加入因特网首要条件就是获取一个合法的IP地址。
手动配置IP相关参数非常的繁琐。
应用层DHCP协议解决了这一难题，但同时也带了安全问题。

2.DHCP作用

动态主机配置协议DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)
客户机/服务器协议。
功能：在TCP/IP网络中对客户机动态分配和管理IP地址等配置信息，以简化网络配置，方便用户使用及管理员的管理。

3.DHCP工作过程

1. DNCP客户端首次初始化的时候，会向网络发送DHCPDISCOVER (广播)报文，请求获得IP. 子网掩码，默认网关. DNS等信息。
   在报文中同时包含了客户端的MAC地址信息
2. 网络中只有DHCP服务器会识别并响应该DHCPDISCOVER请求。当DHCP服务器接收到该请求后，会从自己的地址池中选择一个ip地址分配给该客户机，并把其他TCP/IP配置一起通过DHCPOFFER (单播)响应报文发送过去。
   因为是针对单独的设备，这里是发起请求的客户机，所以是单播。
3. 客户端接收到了单播给他的一堆信息以后，他有以广播形式发送DHCPREQUEST (广播)消息，说明自己需要得到服务。
   为什么以广播方式发送DHCPREQUEST消息
   如果一个网段上面存在多个DHCP服务器，客户端可能会受到多个OFFER消息，他只会选择最先收到的那个服务器。
   作用：（1）通知那个服务器:我已经收到你所提供的IP地址，我需要你的服务。（2）通知网络上其他DHCP服务器:我拒绝你们提供的IP信息。
4. DHCP接收到DHCPREQUEST以后，他会将所提供的IP地址和其他的配置交给服务器，并且向客户端以单播形式发送一个DHCPACK消息，确认DHCP过程已经完成。
5. 经过以上步骤，这个IP地址就会租给客户端一段时间，租用期间，客户端每次登陆时，都会向服务器发送这个IP地址的序定请求DHCPREQUEST。如果过期不续租，这个IP地址就会退回到DHCP服务器的地址池中，等待下一次重新分配。

4.DHCP安全隐患

1. 不提供对客户端的认证。
   即便是没有权限使用网络的非法用户，也能很容易的从DHCP服务器获取一个IP地址以及网关、DNS等信息，成为一个合法使用者。
2. 不提供对DHCP服务器的认证。
   客户端从最先获得OFFER的DHCP服务器处获得IP地址等信息，不管是什么原因，误操作介入了一台DHCP服务器，该服务器就能够为DHCP客户端提供IP地址等信息的服务。
3. 不提供服务器认证的危害
   （1）客户端无法实现正常的网络连接:（获取的IP地址、DNS、网关啥的不对）
   （2）IP地址冲突。（如果与网络中重要服务器的IP地址冲突时，整个网络将处于混乱状态。）

5.非法DHCP服务器的工作原理

一台非法DHCP服务器接入到了网络中，并“冒充”为一这个网段中的合法DHCP服务器。
由于非法DHCP服务器与DHCP客户端处于同一个网段，而正确的DHCP服务器位于其他网段。
所以，一般情况下非法DHCP服务器优先发送DHCPOFFER响应报文给客户端，而后到的正确的DHCP服务器的OFFER响应，客户端并不采用。
非法DHCP+攻击程序容易拿到用户信息，比如用户操作系统的账号密码。
结果，DHCP客 户端将从非法DHCP服务器处获得不正确的IP地址、网关、DNS等配置参数。

6.非法DHCP服务的防范

1. 在DHCP服务器上进行IP与MAC地址的绑定
   在通过DHCP服务器进行客户端IP地址等参数分配的网络中，对于一些重要部门的用户，可以通过在DHCP服务器上绑定IP与MAC地址，实现对指定计算机IP地址的安全分配。
   步骤：以Windows Server系列操作系统集成的DHCP服务为例
   (1)确保DHCP服务器的运行正常。
   (2)选择“开始一>程序一>管理工具一>DHCP"，打开“DHCP"窗口.
   (3)选取“作用域一保留”，单击鼠标右键，在出现的快捷菜单中选择“新建保留，在“保留名称"后面输入客户端用户的名称，在“IP地址“后输入该作用域中一个末分配的IP地址，在“MAC地址”后面输入指定客户端计算机的MAC地址，在“支持的类型”下面选择“两者”或“仅DHCP"

2. 使用DHCP Snooping信任端口
DHCP Snooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。

一旦将交换机的某一个端口设置为指向正确DHCP服务器的接入端口，那么交换机会自动丢弃从其他端口上接收到的DHCP响应报文
因为非信任端口，所以非法的DHCP服务器虽然接收到了信息，也发出了响应报文，但是在不信任端口处被阻断了，内网设备就不会得到不信任DHCP发送的响应报文了。
就是不管你响应有多快，但是都半路夭折了。
当然，对不同的交换机等设备、不同的DHCP服务器软件需要采取不同的安全技术和策略。
这个可以参阅相关设备和软件的技术文档。

总结：