交换网络安全防范系列二之DHCP攻击的防范

2.1 采用 DHCP 管理的常见问题：

　　 采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有：

　　• DHCP server 的冒充。

　　• DHCP server 的 Dos 攻击。

　　• 有些用户随便指定地址，造成网络地址冲突。

　　由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server ，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。

　　对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术，这部分着重介绍 DHCP 冒用的方法技术。

2.2DHCP Snooping 技术概况

　　 DHCP Snooping 技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示：

MacAddress	IpAddress	Lease	Type	VLAN	Interface
00:0D:60:2D:45:0D	10.149.3.13	600735	dhcp-snooping	100	G1/0/7

　　这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DAI和IP Source Guard使用。

　　 Dhcp-snooping 将交换机上的端口分为信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文，如下图所示：  

2.3 配置

IOS 全局命令：

ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探

ip dhcp snooping /* 启用DHCP-SNOOPING功能

ip dhcp snooping database tftp:// 10.1.1 .1/directory/file/* 导出 DHCP 绑定表到 TFTP 服务器。

需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定TFTP服务器上，否则交换机重启后DHCP绑定表丢失，对于已经申请到IP地址的设备在租用期内，不会再次发起DHCP请求，如果此时交换机己经配置了下面所讲到的DAI和IP Source Guard技术，这些用户将不能访问网络。

接口命令：

ip dhcp snooping trust /* 定义该接口为信任端口

ip dhcp snooping limit rate 10  /* 定义DHCP报文的发送率，一定程度上防止 DHCP 拒绝服务攻击

2.4 高级防范

　　 通过交换机的端口安全性设置每个DHCP请求指定端口上使用唯一的MAC地址，通常DHCP服务器通过DHCP请求的报文中的CHADDR段判断客户端MAC地址，通常这个地址和客户端的真是IP相同，但是如果攻击者不修改客户端的MAC而修改DHCP报文中CHADDR，实施Dos攻击，Port Security就不起作用了，DHCP嗅探技术可以检查DHCP请求报文中的CHADDR字段，判断该字段是否和DHCP嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。