园区网安全防御之DHCP攻击

 

 

DHCP 攻击简介

 

接入层是攻击频发的地带，因为这是一个鱼龙混杂的地方。一般园区网的主机起机的时候会发送一个 DHCP 请求，以广播方式发送。 DHCP server 接到请求会响应主机。一般 windows 操作系统请求的内容比较少，比如： ip 地址，掩码，网关，租用时间。一些无盘工作站还会请求多一些的内容，像 tftp server 的地址。因为无盘工作站没有硬盘，只有网卡，它把那些请求的功能集成在网卡里了。

其实， DHCP 可以分配 100 多项内容（ 76 个标准的 + 一些扩展），是根据请求内容分配的。

现在，假如有一个 rogue DHCP attacker 连到接入层，它会冒充 DHCP server 给发出请求的 client 回应（因为请求是广播发出的， attacker 也收得到）。一般情况下，这个 attacker 会把响应里的网关指向自己。这样，客户上网的流量都会经过 attacker 。也就是“中间人”攻击。作为一般用户来说，他不会发现任何的异常， windows 系统也不会显示分配到的地址（除非命令行下 ipconfig ）。

作为 attacker 会使用一些嗅探工具去嗅探你上网发送的数据包。在网络中使用的一些协议诸如 pop3 http telnet ftp 等使用的都是明文认证，所以密码很容易被窃取。很多人喜欢把所有的密码设为同样的。所以作为攻击者来说，只要早晨起床来看看截获了哪些密码就好。

嗅探软件有很多种，一个菜鸟 5 分钟就能会用，所以这种攻击是很危险的。

 

 

防御的方法

 

一般使用 DHCP 侦听防御 DHCP 攻击。

将接入层交换机上与客户端相连的接口设为不信任端口 , 把与交换机相连的端口设为信任端口。当 untrusted port 收到 DHCP 应答的时候，交换机会丢弃这个应答数据包，注意，只是应答数据包。所以当一个 client 发起 DHCP 请求的时候，攻击者还是会响应这个请求，但这个响应传到交换机的时候会被丢弃。这样就有效的防范了 DHCP 攻击。

命令如下：

Ip dhcp snooping

Ip dhcp snooping information option

Ip dhcp snooping trust  （接口下）

Ip dhcp snooping limit rate [rate]

Ip dhcp snooping vlan number

验证：

Show ip dhcp snooping

 

第四条命令可以限制报文速率，有效防止 dos 攻击。

 

 

Ip 源保护

 

在 DHCP 侦听中还有另外一个很重要的方面。当 client 发送一个 DHCP 请求的时候，到了交换机的端口，交换机会截获这个报文，加上 82 option 这个选项，用于记录 client mac 和 port mac 。当 DHCP server 发回响应报文的时候截获应答，以获得 client 的 ip 地址和 mac 以及自己端口的映射。当 client 发包的时候，要这个映射匹配才发包。

这个叫做用户源保护。有些用户喜欢手动修改自己的 ip 地址或 mac 地址。这有可能造成冲突，使其他的用户无法正常上网，或者避免一些控制以拥有一些其他的权限。在开启了这个功能后可以防止这一点。

Ip 源保护以 DHCP snooping 作为 ip 源保护并不能阻止像 arp 欺骗这样的攻击，因为 arp欺骗 的数据包源那部分并没有错，只是目的那部分不对。

 

命令配置：

ip dhcp snooping

ip dhcp snooping vlan number

ip verify source vlan dhcp-snooping port-security

 

 

 

 

 

本文出自 “慕枫的部落格~” 博客，谢绝转载！