2021-02-27 分類: 網(wǎng)站建設(shè)
DHCP Snooping是DHCP的一種安全特性,用來(lái)保證DHCP客戶端能夠正確的從DHCP服務(wù)器獲取IP地址,防止網(wǎng)絡(luò)中針對(duì)DHCP的攻擊。
DHCP,動(dòng)態(tài)主機(jī)配置協(xié)議,在IPv4網(wǎng)絡(luò)中為客戶端動(dòng)態(tài)分配IP地址,采用客戶端/服務(wù)器通信模式,由客戶端(DHCP Client)向服務(wù)器(DHCP Server)提出申請(qǐng),服務(wù)器返回為客戶端分配的IP信息,包括IP地址、缺省網(wǎng)關(guān)、DNS Server等參數(shù)。
DHCP組網(wǎng)中包括以下兩種角色:
DHCP Server仿冒攻擊:非法用戶通過(guò)仿冒DHCP Server,為客戶端分配錯(cuò)誤的IP地址,導(dǎo)致客戶端無(wú)法正常接入網(wǎng)絡(luò)。
DHCP報(bào)文仿冒攻擊:
1、已獲取到IP地址的合法用戶通過(guò)向服務(wù)器發(fā)送DHCP Request報(bào)文用以續(xù)租IP地址。非法用戶冒充合法用戶不斷向DHCP Server發(fā)送DHCP Request報(bào)文來(lái)續(xù)租IP地址,導(dǎo)致到期的IP地址無(wú)法正?;厥眨碌暮戏ㄓ脩舨荒茉佾@得IP地址。
2、已獲取到IP地址的合法用戶通過(guò)向服務(wù)器發(fā)送DHCP Release報(bào)文用以釋放IP地址。非法用戶仿冒合法用戶向DHCP Server發(fā)送DHCP Release報(bào)文,使合法用戶異常下線。
DHCP報(bào)文泛洪攻擊:
非法用戶在短時(shí)間內(nèi)發(fā)送大量DHCP報(bào)文,使DHCP Server無(wú)法正常處理報(bào)文,從而無(wú)法為客戶端分配IP地址。
DHCP Server拒絕服務(wù)攻擊
1、非法用戶通過(guò)惡意申請(qǐng)IP地址,使DHCP服務(wù)器中的IP地址快速耗盡,無(wú)法為合法用戶再分配IP地址
2、DHCP Server通常僅根據(jù)DHCP Request報(bào)文中的CHADDR(Client Hardware Address)字段來(lái)確認(rèn)客戶端的MAC地址。非法用戶通過(guò)不斷改變CHADDR字段向DHCP Server申請(qǐng)IP地址,使DHCP服務(wù)器中的IP地址快速耗盡,無(wú)法為合法用戶再分配IP地址。
DHCP Server仿冒攻擊
配置接入交換機(jī)與DHCP Server相連的接口為信任接口,只有信任接口能夠接收和轉(zhuǎn)發(fā)DHCP報(bào)文。
DHCP報(bào)文仿冒攻擊
在DHCP Server為客戶端分配IP地址過(guò)程中,根據(jù)DHCP報(bào)文生成DHCP Snooping綁定表,該綁定表記錄MAC地址、IP地址、租約時(shí)間、VLAN ID、接口等信息,然后通過(guò)DHCP報(bào)文與綁定表的合法性檢查,丟棄非法報(bào)文,防止DHCP報(bào)文仿冒攻擊。
DHCP報(bào)文泛洪攻擊
限制DHCP報(bào)文上送CPU的速率。
DHCP Server拒絕服務(wù)攻擊
1、通過(guò)限制DHCP Snooping綁定表的個(gè)數(shù),限制用戶接入數(shù)。當(dāng)用戶數(shù)達(dá)到指定值時(shí),任何用戶將無(wú)法通過(guò)此接口申請(qǐng)到IP地址。
2、通過(guò)檢查DHCP Request報(bào)文幀頭MAC與DHCP數(shù)據(jù)區(qū)中CHADDR字段的一致性,丟棄不一致的報(bào)文,防止非法用戶攻擊。
DHCP PC1和DHCP PC2通過(guò)SwitchA向DHCP Server申請(qǐng)IP地址。通過(guò)在SwitchA上配置DHCP Snooping功能,防止以下類型的攻擊:
S交換機(jī)的配置方法如下:
1、全局和接口下使能DHCP Snooping功能。
[SwitchA] dhcp enable //需要先全局使能DHCP功能[SwitchA] dhcp snooping enable[SwitchA] interface gigabitethernet 0/0/1[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable[SwitchA-GigabitEthernet0/0/1] quit[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable[SwitchA-GigabitEthernet0/0/2] quit
2、連接DHCP Server的接口配置為信任接口,防止DHCP Server仿冒者攻擊。
[SwitchA] interface gigabitethernet 0/0/4[SwitchA-GigabitEthernet0/0/4] dhcp snooping enable[SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted[SwitchA-GigabitEthernet0/0/4] quit
3、DHCP報(bào)文與綁定表的合法性檢查,防止DHCP報(bào)文仿冒攻擊。
[SwitchA] dhcp enable[SwitchA] dhcp snooping check dhcp-request enable vlan 10 //對(duì)VLAN 10內(nèi)的用戶進(jìn)行合法性檢查
4、限制DHCP報(bào)文上送CPU的個(gè)數(shù),防止DHCP報(bào)文泛洪攻擊。
[SwitchA] dhcp snooping check dhcp-rate enable //使能對(duì)DHCP報(bào)文上送CPU的速率檢測(cè)功能[SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多處理90個(gè)DHCP報(bào)文
5、配置DHCP Snooping綁定表個(gè)數(shù)和DHCP Request報(bào)文幀頭源MAC地址與CHADDR字段一致性檢查功能,防止DHCP Server拒絕服務(wù)攻擊。
[SwitchA] dhcp snooping max-user-number 2 vlan 10 //配置VLAN 10內(nèi)只允許兩個(gè)用戶接入[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10
網(wǎng)站題目:DHCP服務(wù)如何配置才能盡量減少被攻擊的可能
分享地址:http://muchs.cn/news8/103208.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、網(wǎng)站排名、網(wǎng)站改版、品牌網(wǎng)站建設(shè)、動(dòng)態(tài)網(wǎng)站、網(wǎng)站設(shè)計(jì)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容