DHCP面临的安全威胁:

(1)DHCP 饿死攻击 (2)仿冒DHCP Server攻击 (3)DHCP中间人攻击

(1)DHCP 饿死攻击

攻击原理:攻击者持续大量的向DHCP Server中申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常用户进行分配。

漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者和恶意的申请者。

CHADDR:Client Hardware Address (MAC地址)

(2)仿冒DHCP Server攻击

攻击原理:攻击者仿冒DHCP Server,向客户端分配错误的IP地址及提供错误的网关等参数,导致客户端无法正常访问网络。

漏洞分析:DHCP客户端收到来自DHCP Server的DHCP消息,无法区分这些DHCP消息是来自仿冒的DHCP Server,还是来自合法的DHCP Server。

(3)DHCP中间人攻击

攻击原理:攻击者利用ARP机制,让PC-A学习到IP-S与MAC-B的映射关系,让Server学习到IP-A和MAC-B的映射关系,如此一来,PC-A与Server之间交互的IP报文都会经过攻击者中转。

漏洞分析:从本质上讲,中间人攻击是一种spoofing IP/MAC攻击,中间人利用了虚假的IP地址与MAC地址之间的映射关系,同时欺骗DHCP的客户端和服务器。

DHCP Snooping

为了增减网络安全,防止DHCP收到攻击,一种称为DHCP Snooping的技术应运而生,DHCP Snooping不是一种标准技术,尚未有统一的标准规范,不同的网络设备制造商在DHCP Snooping实现上也不尽相同。

DHCP Snooping部署在交换机上,其作用类似在DHCP客户端与DHCP服务器之间构筑了一道虚拟的防火墙

20230924214536

DHCP Snooping 用于防止仿冒DHCP Server攻击

20230924215041

Switch:

dhcp enable 
dhcp snooping enable
vlan 8
 dhcp snooping enable
 #
int e0/0/2
 dhcp snooping trusted   // 上连接口添加信任trusted

*全局、接口视图都要dhcp snooping enable

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。