简单的交换安全之DHCP攻击

简单的交换安全

欺骗类：

1，DHCP欺骗
（1）仿冒攻击
在DHCP工作原理中，客户端以广播的形式寻找服务器，只采用第一个网络配置参数，所以如果有多台DHCP服务器，客户端会采用先应答的服务器所给的参数。攻击者利用未授权的服务器优先应答客户端的地址请求，就会获取到不正确的IP地址、网关和DNS信息，而使用了攻击者提前布置好各种陷阱的IP地址，后果可想而知。
（2）耗尽攻击
攻击者恶意从授权的DHCP服务器上反复申请IP地址，导致DHCP服务器消耗了全部地址，出现DHCP饥饿，无法正常服务。
（3）中间人攻击
结合了上面两种攻击方式，先恶意耗尽服务器资源，再搞一个假服务器向目标开放应答地址请求。DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器（DNS服务器）。如果指定为网关，客户机将把数据包发送给攻击设备，而攻击设备则将数据包转发到客户机的目的地，这样就神不知鬼不觉的窃取了客户的信息，高端一些还可以篡改数据包内容。
即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，大量发送会耗尽带宽，将会被拒绝服务。

DHCP防御：
在交换机上配置 DHCP  Snooping
工作原理：交换机监听DHCP数据帧，对于不信任的接口将拒绝接受DHCP Offer包（响应包）
当DHCP服务器和客户端不在同一个子网内时，客户端想要拿到地址就必须有DHCP中继代理（DHCP Relay Agent）来转发DHCP请求包。转发之前还能插入一些选项信息，以便DHCP服务器更精准的得知客户端的信息，从而更灵活的分配IP地址和其他参数。

 交换机开启了DHCP Snooping功能后，默认情况下，将对从非信任端口收到的DHCP请求报文插入选项82信息。默认经过上行交换机端口时会丢弃。可以配置“ip dhcp snooping information allow-untrusted”全局使其不被丢弃，在接口配置“ip dhcp snooping trust”接收。但是不建议这样做，因为这样将会不建立接口的DHCP监听绑定表，降低了安全性。
 当DHCP双方在同一个子网内时，交换机会把Option 82 的值填为0.0.0.0
 
 注：
 以Windows Server 2003为DHCP的服务器不认为Option 82 的值为0的DHCP请求报文是错误的，所以会丢弃该报文。
 可配置“no ip dhcp snooping information option”命令，不插入Option 82
 可在路由器上配置“ip dhcp relay information trust”允许Option 82 的值为0的DHCP请求报文通过，但仅对路由器当前接口有效。全局有效：“ip dhcp relay information trust-all”

ip dhcp snooping database flash: xx.txt 把缓存的snooping表存放在一个能够存储的位置。