DHCP Snooping技术简介

       DHCP Snooping是一种DHCP安全特性,通过MAC地址限制,DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击、DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。DHCP Snooping的作用就如同在Client和DHCP Server之间建立的一道防火墙。

DHCP Snooping技术可以防止以下五方面的DHCP攻击:

 

1、防止DHCP Server仿冒者攻击

       当网络中存在DHCP Server仿冒者时,DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS服务器、错误的IP等,从而使Client无法访问网络。

       为了避免受到DHCP Server仿冒者的攻击,可以在设备上配置DHCP Snooping功能,把用户侧的接口配置为Untrusted模式,把运营商网络侧的接口配置为Trusted模式,凡是从Untrusted接口收到的DHCP Relay报文全部丢弃。

 

2、防止中间人与IP/MAC Spoofing 攻击DHCP Server

       当网络中存在中间人或者IP/MAC Spoofing攻击时,攻击者仿冒Server和Client,在服务器看来,所有的报文都是来自或者发往客户端;在客户端看来,所有的报文也都是来自或者发往服务器端。但实际上这些报文都是经过了中间人的“二手”信息。这样仿冒者就可以获得Server和Client的数据。

       为了避免受到中间人与IP/MAC Spoofing攻击,可以在设备上配置DHCP Snooping功能,使用DHCP Snooping绑定功能,只有接收到的报文的信息和绑定表中的内容一致才会被转发,否则报文将被丢弃。

 

3、防止攻击者通过改变CHADDR值攻击DHCP Server

       当网络中存在DHCP饿死攻击时,攻击者改变的不是数据帧头部的源MAC,而是改变DHCP报文中的CHADDR(Client Hardware Address)值来不断申请IP地址。如果路由器仅根据数据帧头部的源MAC来判断该报文是否合法,那么“MAC地址限制”方案不能完全起作用,这样的攻击报文还是可以被正常转发。

       为了避免受到攻击者改变CHADDR值的攻击,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,便转发报文;否则,丢弃报文。

 

4、防止攻击者仿冒DHCP续租报文攻击DHCP Server

       当网络中存在攻击者时,攻击者通过不断发送DHCP Request报文来冒充用户续租IP地址,这样一方面会导致一些到期的IP地址无法正常回收,另外也不是用户的真实意图。

       为了避免受到攻击者仿冒DHCP续租报文进行攻击,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文和使用DHCP Snooping绑定功能,只有接收到的报文的信息和绑定表中的内容一致才会被认为是正常的申请报文,报文被转发,否则报文将被丢弃。

 

5、防止攻击者发送大量的DHCP Request报文攻击DHCP Server

       当网络中的攻击者通过不断地发送DHCP Request报文来申请IP地址,这样一方面会导致设备的DHCP表项变得很大,另外对设备的协议栈造成影响。

       为了避免受到攻击者发送大量DHCP Request报文进行攻击,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文和限制报文的上送速率,在一定的时间内只允许规定数目的报文上送协议栈,多余的报文将被丢弃。

文章出处:http://www.net1980.com/2011/01/24/dhcp-snooping/

你可能感兴趣的:(职场,DHCP,休闲,Snooping)