一、DHCP Snooping用于防止DHCP饿死攻击

5.18-1

所有接入交换机接用户的接口:

int g0/0/x
 dhcp snooping check dhcp-chaddr enable

二、DHCP Snooping用于防止DHCP中间人攻击

20231003215310

(1)如果需要开启Spoofing IP/MAC攻击防护(进而防止中间人攻击)的方法,

在系统视图

[Huawei]arp dhcp-snooping-detect enable

(2)调试命令

[Huawei]dis dhcp snooping user-bind all

(3)手工静态配置IP映射记录,手动建立

[Huawei]user-bind static ip-address 192.168.8.8 mac-address H-H-H interface e0/0/4 vlan 8

三、DHCP Snooping与IPSG技术联动

5.18-2

网络中经常会存在针对源IP地址进行欺骗的攻击行为,例如,攻击者仿冒合法用户IP地址向服务器发送IP报文,针对这类攻击,相应的防范技术成为IPSG(IPSource Guard)技术。交换机使能IPSG后,会对进入交换机端口的报文进行合法性减产,并对报文进行过滤,如果合法则转发,如果非法则丢弃。

报文的检查项可以是源IP地址,源MAC地址,vlan和物理端口号的若干种组合,例如:

交换机端口视图下支持:

20231003220401

交换机vlan视图下支持:

20231003220455

配置命令:

在接口视图或VLAN视图下:

ip source check user-bind enable
// 默认对MAC、IP等全部开启合法性检查

ip source check user-bind check-item ?  // 可选项检查

四、真机实验

eNSP模拟器无法支持实验

(1)禁止用户手工配置静态IP,防止IP地址冲突

(2)利用DHCP Snooping建立 IP-MAC-接口 的检查表项(动态获取IP地址)

接入交换机:

[SW1]dis version  // 查看版本
     dis dhcp snooping user-bind all

     // 旧系统或真机使用以下命名查看
     dis user-bind all
  • 该表项是一个动态表项,插拔接口或重新获取地址,该表会被刷新。
  • 该映射表时交换机通过窥探DHCP报文而建立
dhcp enable
dhcp snooping enable
int e0/0/1  // 接用户的接口
 ip source check user-bind enable  // 开启IP源地址检查功能

此时如果用户手动配置静态IP地址,用于接口没有映射,此时交换机会直接将报文丢弃。

20231003221742

[SW2]int g0/0/1
      dhcp snooping trusted  // 上连接口配置为信任口

[SW2]dhcp enable
     dhcp snooping enable
     vlan 6
      dhcp snooping enable
      #
     dis dhcp snooping user-bind all // 查看自动建立的表项
     #
     int e0/0/8
      ip source check user-bind enable  // 开启IP源防护

此时手动修改IP地址,则无法正常通过交换机,表中没有记录

[SW2]user-bind static ip-address 192.168.6.44 mac-address 000c-1991-f2a9 interface e0/0/8 vlan 6
     #
     dis user-bind all

手动添加表项后,可以联网。

五、dhcp snooping user-bind autosave

dhcp snooping user-bind autosave

设备在生成DHCP用户的DHCP Snooping表项时,若要设备重启,不丢失表项,可以使用此命令使能DHCP Snooping绑定表的本地自动备份功能。

备份时后缀名必须是 .tbl

配置在flash下自动备份绑定表,文件名是backup.tbl,自动备份周期5000秒

[Huawei]dhcp enable
        dhcp snooping enable
        dhcp snooping user-bind autosave flash:/backuo.tbl write-delay 5000
参数 说明 取值
file-name 指定DHCP Snooping 绑定表自动备份文件路径及文件名 字符串形式,不支持空格,不区分大小写,长度1 ~ 51
write-delay 指定DHCPSnooping绑定表自动备份周期 整数形式,6024294967295秒,缺省86400秒

六、补充内容

1.DHCP客户端续租,向DHCP Server发送 DHCPRequest报文

2.DHCP常见攻击:DHCP饿死攻击、仿冒DHCP Server攻击、DHCP中间人攻击

3.企业静态给用户分配IP地址,防止用户私自修改IP地址

使用user-bind static 静态建立ip-mac-接口 检查表项

[SW]user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 int e0/0/2
    int e0/0/2
     ip source check user-bind enable

接在e0/0/2口的PC只能是IP 192.168.31.7 MAC 0021-cccf-1d28 才可以通过,若IP、MAC不匹配则报文将被直接丢弃。

4.5.18-4

5.DHCP绑定表可以包含: MAC地址、IP地址、租约时间

5.18-101

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。