一、采用DHCP处事的常见问题
3 t: Z6 B. y: M8 F4 q+ s 架设DHCP处事器可觉得客户端自动分配IP地址、掩码、默认网关、DNS处事器等收集参数,简化了+ f+ N3 y4 v$ D9 j- a
收集设置装备摆设,提高了打点效率。但在DHCP处事的打点上存在一些问题,常见的有: 7 j2 o, O- t7 r4 w
●DHCP Server的假充
; b8 w k, G+ b8 b8 D( m7 a6 n ●DHCP Server的DOS抨击袭击,如DHCP耗竭抨击袭击
; R# C; E9 M" A2 H$ a- l ●某些用户随便指定IP地址,造成IP地址冲突2 D8 ~) Q3 |, u# Q. N, N8 S
1、DHCP Server的假充# r8 ]2 V1 Y+ d3 b9 _
因为DHCP处事器和客户端之间没有认证机制,所以如不美观在收集上随意添加一台DHCP处事器,它就可觉得客户端分配IP地址以及其他收集参数。只要让该DHCP处事器分配错误的IP地址和其他收集参数,那就会对拓馇造成很是年夜的风险。" ?" G* S- w i" z' W4 h3 Y$ v$ U
2、DHCP Server的拒绝处事抨击袭击! B$ i4 [" y l- {9 p6 ~
凡是DHCP处事器经由过程搜检客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判定客户端的MAC地址。正常情形下该CHADDR字段和发送请求报文的客户端真实的MAC地址是不异的。抨击袭击者可以操作伪造 MAC的体例发送DHCP请求,但这种抨击袭击可以使用Cisco 交流机 的端口平安特征来防止。端口平安特征(PortSecurity)可以限制每个端口只使用独一的MAC地址。可是如不美观抨击袭击者不改削DHCP请求报文的源 MAC地址,而是改削DHCP报文中的CHADDR字段来实施抨击袭击,那端口平安就不起浸染了。因为DHCP处事器认为分歧的CHADDR值暗示请求来自分歧的客户端,所以抨击袭击者可以经由过程年夜量发送伪造CHADDR的DHCP请求,导致DHCP处事器上的地址池被耗尽,年夜而无法为其他正常用户供给收集地址,这是一种DHCP耗竭抨击袭击。DHCP耗竭抨击袭击可所以纯粹的DOS抨击袭击,也可以与伪造的DHCP处事器配合使用。当正常的DHCP处事器瘫痪时,抨击袭击者就可以成立伪造的DHCP处事器来为局域网中的客户端供给地址,使它们将信息转发给筹备进取的恶意计较机。甚至即使DHCP请求报文的源MAC地址和 CHADDR字段都是正确的,但因为DHCP请求报文是广播报文,如不美观年夜量发送的话也会耗尽收集带宽,形成另一种拒绝处事抨击袭击。
5 ] s! c: b$ G& |: L. w 3、客户端随意指定IP地址/ O' u1 R! g% W
客户端并非必然要使用DHCP处事,它可以经由过程静态指定的体例来设置IP地址。如不美观随便指定的话,将会年夜年夜提高收集IP地址冲突的可能性。
/ J) r8 @1 h0 M! e" C二、DHCP Snooping手艺介绍
7 A; ]) x q! J* z1 j DHCP监听(DHCP Snooping)是一种DHCP平安特征。Cisco交流机撑持在每个VLAN基本上启用DHCP监听特征。经由过程这种特征,交流机能够阻挡第二层VLAN域内的所有DHCP报文。
\0 O% N- s0 a1 t J- k DHCP监听将交流机端口划分为两类: o6 P* T6 y. O# H
●非信赖端口:凡是为毗连终端设备的端口,如PC,收集打印机等/ |# q/ Z: A5 I
●信赖端口:毗团结法DHCP处事器的端口或者毗连汇聚交流机的上行端口# a+ E- O8 Y5 N0 }' J. B2 b
经由过程开启DHCP监听特征,交流机限制用户端口(非信赖端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如 DHCPOffer 报文等。而且,并非所有来自用户端口的DHCP请求都被许可经由过程,交流机还会斗劲DHCP请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者不异的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭抨击袭击。信赖端口可以领受所有的DHCP报文。经由过程只将交流机毗连到正当DHCP处事器的端口设置为信赖端口,其他端口设置为非信赖端口,就可以防止用户伪造DHCP处事器来抨击袭击收集。DHCP监听特征还可以对端口的DHCP报文进行限速。经由过程在每个非信赖端口下进行限速,将可以阻止正当DHCP请求报文的广播抨击袭击。DHCP 监听还有一个很是主要的浸染就是成立一张DHCP监听绑定表(DHCP SnoopingBinding)。一旦一个毗连在非信赖端口的客户端获得一个正当的DHCPOffer,交流机就会自动在DHCP监听绑定内外添加一个绑定条目,内容搜罗了该非信赖端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如:( Z9 Z+ u+ I* m: O; O
Switch#show ip dhcp snooping binding* \7 i8 [; H' G- [, M7 t. Q
MacAddress IpAddress Lease(sec) Type VLAN Interface
# }" @5 u5 ?! S- q$ E! M" f2 h1 V! E* L6 _
------------------ --------------- ---------- ------------- ---- ---------------- |