DHCP snooping总结

DHCP服务已是网络中必不可少的服务之一。随着DHCP服务的部署,一些安全问题也逐渐暴露出一些问题:

  • DHCP报文泛红攻击
  • 仿冒DHCP报文攻击
  • DHCP仿冒者攻击
  • DHCP server拒绝服务攻击
  • 仿冒DHCP服务器攻击

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

这里要注意的是:DHCP snooping 只是会动态的生成绑定表,需要结合其它功能和特性来实现安全防护。

1.DHCP报文泛红攻击:

在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。

解决办法:
配置限制DHCP报文的上送速率,可在系统视图、VLAN视图或接口视图下执行。

执行命令dhcp snooping check dhcp-rate enable,使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。
缺省情况下,未使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

执行命令dhcp snooping check dhcp-rate rate,配置DHCP报文上送DHCP报文处理单元的最大允许速率。
缺省情况下,全局DHCP报文上送DHCP报文处理单元的最大允许速率为100pps,接口下DHCP报文上送DHCP报文处理单元的最大允许速率为在系统视图下配置的值。

2.仿冒DHCP报文攻击:

在DHCP网络环境中,若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server,将会导致用户的IP地址租约到期之后不能够及时释放,以致合法用户无法使用该IP地址;若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。
在生成DHCP Snooping绑定表后,设备可根据绑定表项,对DHCP Request报文或DHCP Release报文进行匹配检查,只有匹配成功的报文设备才将其转发,否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release报文冒充合法用户续租或释放IP地址。

解决办法:
使能对DHCP报文进行绑定表匹配检查的功能,可在系统视图、VLAN视图或接口视图下进行配置。

执行命令dhcp snooping check dhcp-request enable vlan { vlan-id1 [ to vlan-id2 ] }&<1-10>,使能对从指定VLAN内上送的DHCP报文进行绑定表匹配检查的功能。
缺省情况下,未使能对DHCP报文进行绑定表匹配检查的功能。

在VLAN或者接口视图下:
执行命令dhcp snooping check dhcp-request enable,使能对DHCP报文进行绑定表匹配检查的功能。
缺省情况下,未使能对DHCP报文进行绑定表匹配检查的功能。

3. DHCP仿冒者攻击:

此功能需要结合IPSG来实现:

随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。
一个典型的利用IPSG防攻击的示例如图1所示,非法主机伪造合法主机的IP地址获取上网权限。此时,通过在Switch的接入用户侧的接口或VLAN上部署IPSG功能,Switch可以对进入接口的IP报文进行检查,丢弃非法主机的报文,从而阻止此类攻击。

IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。

绑定表生成后,IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。当绑定表信息变化时,设备会重新下发ACL。缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备会允许IP协议报文通过,但是会拒绝所有的数据报文。

IPSG只匹配检查主机发送的IP报文,对于ARP、PPPoE等非IP报文,IPSG不做匹配检查。

IPSG实现原理图

4.DHCP server拒绝服务攻击

若在网络中存在DHCP用户恶意申请IP地址,将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。另一方面,DHCP Server通常仅根据CHADDR(client hardware address)字段来确认客户端的MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址,将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。
为了防止某些端口的DHCP用户恶意申请IP地址,可配置接口允许学习的DHCP Snooping绑定表项的最大个数来控制上线用户的个数,当用户数达到该值时,则任何用户将无法通过此接口成功申请到IP地址。为了防止攻击者不断改变DHCP Request报文中的CHADDR字段进行攻击,可使能检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能,相同则转发报文,否则丢弃。

解决办法:
配置接口允许学习的DHCP Snooping绑定表项的最大个数,可在系统视图、VLAN视图或接口视图下配置。

执行命令dhcp snooping max-user-number max-number vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>,配置设备允许学习的DHCP Snooping绑定表项的最大个数。
执行该命令后,设备所有的接口允许学习的DHCP Snooping绑定表项之和为该命令所配置的值。

在VLAN或者接口视图下:
执行命令dhcp snooping max-user-number max-number,配置接口允许学习的DHCP Snooping绑定表项的最大个数。
若在VLAN视图下执行该命令,则VLAN内所有的接口接入的用户最大数为该命令所配置的值。

5.仿冒DHCP服务器攻击

此功能需要配置DHCP 信任功能来实现:

配置接口信任状态

背景信息

如图所示场景中,为使DHCP客户端能通过合法的DHCP服务器获取IP地址,需将与管理员信任的DHCP服务器直接或间接连接的设备接口设置为信任接口(如图中的if0),其他接口设置为非信任接口(如图中的if2)。从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。
在连接用户的接口或VLAN下使能DHCP Snooping功能之后,需将连接DHCP服务器的接口配置为“信任”模式,两者同时生效设备即能够生成DHCP Snooping动态绑定表。

解决办法:
请在二层网络中的接入设备上执行以下步骤。
配置接口为“信任”状态,可在接口视图或VLAN视图下执行。
接口视图下:
执行命令interface interface-type interface-number,进入接口视图。
执行命令dhcp snooping trusted,配置接口为“信任”接口。
缺省情况下,接口的状态为“非信任”状态。
VLAN视图下:
执行命令vlan vlan-id,进入VLAN视图。
执行命令dhcp snooping trusted interface interface-type interface-number ,配置接口为“信任”接口。
缺省情况下,接口的状态为“非信任”状态。
在VLAN视图下执行此命令,则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效;在接口下执行该命令,则命令功能对该接口接收到的所有DHCP报文生效。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,033评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,725评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,473评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,846评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,848评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,691评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,053评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,700评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,856评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,676评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,787评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,430评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,034评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,990评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,218评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,174评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,526评论 2 343

推荐阅读更多精彩内容