《非法DHCP服务器攻击的防御》由会员分享,可在线阅读,更多相关《非法DHCP服务器攻击的防御(2页珍藏版)》请在金锄头文库上搜索。
1、非法 DHCP服务器攻击的防御现今校园网络 DHCP服务是一种非常常见的服务,该服务简化了海量学生 PC、教室 PC、服务器的地址配置工作。然而有些校园网用户会产生非法 DHCP服务器的攻击行为,这种行为可能是一种恶意操作,也可能是一种无意无操作,比如安装 Windows 2000 server 的客户端,不小心启用 DHCP服务。这种操作无论哪种原因产生的,都会对校园网的运行产生负面影响。第一正常用户从非法 DHCP获得非法 IP 地址, 就无法获取正确的网关和 DNS等信息; 第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突,可能刚好和某些重要校园服务器地址冲突,会影响校园
2、网关键应用的运行。非法 DHCP服务器攻击原理在某些情况下, 入侵者可以将一个 DHCP 服务器加入网络, 令其 “冒充” 这个网段的 DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器( DNS 和 WINS) 提供错误的 DHCP 信息, 从而将客户端指向黑客的主机。 这种误导让黑客获得其他用户对保密信息的访问权限, 例如用户名和密码,而其他用户对攻击一无所知。过程如下:用户发出 DHCP Request攻击者将自己的服务器设置成 DHCP Server 并发出错误的 DHCP Offer用户采用第一个响应其请求的 DHCP Server ,得到错的 DHCP信息正确的 DHCP S
3、erver 发出 DHCP Offer ,用户不采用如何防范非法 DHCP服务器攻击 DHCP Snooping 非信任端口如前所述 DHCP Snooping 能够过滤来自网络中主机或其他设备的非信任 DHCP报文,其中包括对应交换机上不信任的端口的客户端 IP 地址、 MAC地址、端口号、 VLAN编号、租用和绑定类型等消息。交换机支持在每个 VLAN基础上启用 DHCP Snooping 特性。因此,通过使用 DHCP Snooping 特性中的端口信任特性来防止用户私自设置 DHCP server 。一旦在设备上指定专门的 DHCP server 服务器的接入端口则其他端口的 DHCP
4、 server 的报文将被全部丢弃。启动 DHCP Snooping ,将合法 DHCP Server 的端口设为信任端口,其他端口默认情况下均为非信任端口用户发出 DHCP Request攻击者将自己的服务器设置成 DHCP Server 并发出错误的 DHCP Offer交换机自动丢弃所有非信任端口发出的 DHCP Offer用户采用正确的 DHCP Server 发出 DHCP OfferDHCP Snooping 非信任端口是 DHCP Snooping 的子集。通常在校园网部署时建议将接入交换机的下行端口(用户接口)设置为 DHCP Snooping untrust ,将上行端口(连向核心网和汇聚网)设置为 DHCP Snooping trust 。 H3C E328/E352 E126A/E152 产品支持 DHCP Snooping 非信任端口,可以有效防控校园网内部的非法 DHCP服务器攻击发生。
