国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

DHCP Snooping技術

IT那活兒 / 1875人閱讀
DHCP Snooping技術
點擊上方“IT那活兒”公眾號,關注后了解更多內容,不管IT什么活兒,干就完了!!!

概 述

為了保證網絡通信業務的安全性,引入了DHCP Snooping技術,在DHCP Client和DHCP Server之間建立一道防火墻,以抵御網絡中針對DHCP的各種攻擊
DHCP Snooping是DHCP的一種安全特性,用于保證DHCP客戶端從合法的DHCP服務器獲取IP地址。DHCP 服務器記錄DHCP客戶端IP地址與MAC地址等參數的對應關系,防止網絡上針對DHCP攻擊。
目前DHCP協議在應用的過程中遇到很多安全方面的問題,網絡中存在一些針對DHCP的攻擊,如DHCP Server仿冒者攻擊、DHCP Server的拒絕服務攻擊、仿冒DHCP報文攻擊等。

DHCP Snooping主要是通過DHCP Snooping信任功能和DHCP Snooping綁定表實現DHCP網絡安全


工作原理

DHCP無中繼工作原理:

  • 發現階段:DHCP客戶端發送DHCP DISCOVER報文(廣播)來發現DHCP服務器。DHCP DISCOVER報文中攜帶了客戶端的MAC地址(DHCP DISCOVER報文中的chaddr字段)、需要請求的參數列表選項(Option55)、廣播標志位(DHCP DISCOVER報文中的flags字段,表示客戶端請求服務器以單播或廣播形式發送響應報文)等信息。
  • 提供階段:服務器接收到DHCP DISCOVER報文后,選擇跟接收DHCP DISCOVER報文接口的IP地址處于同一網段的地址池,并且從中選擇一個可用的IP地址,然后通過DHCP OFFER報文發送給DHCP客戶端。
  • 請求階段:如果有多個DHCP服務器向DHCP客戶端回應DHCP OFFER報文,則DHCP客戶端一般只接收第一個收到的DHCP OFFER報文,然后以廣播方式發送DHCP REQUEST報文,該報文中包含客戶端想選擇的DHCP服務器標識符(即Option54)和客戶端IP地址(即Option50,填充了接收的DHCP OFFER報文中yiaddr字段的IP地址)。以廣播方式發送DHCP REQUEST報文,是為了通知所有的DHCP服務器,它將選擇某個DHCP服務器提供的IP地址,其他DHCP服務器可以重新將曾經分配給客戶端的IP地址分配給其他客戶端。
  • 確認階段:DHCP客戶端收到DHCP ACK報文,會廣播發送免費ARP報文,探測本網段是否有其他終端使用服務器分配的IP地址。
DHCP有中繼工作原理:
DHCP中繼接收到DHCP客戶端廣播發送的DHCP DISCOVER報文后,主要動作含:檢查DHCP報文中的giaddr字段。DHCP報文中的giaddr字段標識客戶端網關的IP地址。如果服務器和客戶端不在同一個網段且中間存在多個DHCP中繼,當客戶端發出DHCP請求時,第一個DHCP中繼會把自己的IP地址填入此字段,后面的DHCP中繼不修改此字段內容。DHCP服務器會根據此字段來判斷出客戶端所在的網段地址,從而為客戶端分配該網段的IP地址。

將DHCP報文的目的IP地址改為DHCP服務器或下一跳中繼的IP地址,源地址改為中繼連接客戶端的接口地址,通過路由轉發將DHCP報文單播發送到DHCP服務器或下一跳中繼。


功能

DHCP Snooping trust

  • DHCP Snooping的信任功能,能夠保證DHCP客戶端從合法的DHCP服務器獲取IP地址。
  • DHCP Snooping信任功能將接口分為信任接口和非信任接口:

    1. 信任接口正常接收DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文。
    2. 設備只將DHCP客戶端的DHCP請求報文通過信任接口發送給合法的DHCP服務器,不會向非信任接口轉發。
    3. 非信任接口收到的DHCP Server發送的DHCP OFFER、DHCP ACK、DHCP NAK報文會被直接丟棄。
DHCP Snooping綁定表
  • 二層接入設備使能了DHCP Snooping功能后,從收到DHCP ACK報文中提取關鍵信息(包括PC的MAC地址以及獲取到的IP地址、地址租期),并獲取與PC連接的使能了DHCP Snooping功能的接口信息(包括接口編號及該接口所屬的VLAN),根據這些信息生成DHCP Snooping綁定表。
  • 由于DHCP Snooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數的對應關系,故通過對報文與DHCP Snooping綁定表進行匹配檢查,能夠有效防范非法用戶的攻擊。


DHCP攻擊

4.1 餓死攻擊

攻擊原理:攻擊者持續大量地向DHCP Server申請IP地址,直到耗盡DHCP Server地址池中的IP地址,導致DHCP Server不能給正常的用戶進行分配。
漏洞分析:DHCP Server向申請者分配IP地址時,無法區分正常的申請者與惡意的申請者。
解決方法對于餓死攻擊,可以通過DHCP Snooping的MAC地址限制功能來防止。該功能通過限制交換機接口上允許學習到的最多MAC地址數目,防止通過變換MAC地址,大量發送DHCP請求。

4.2 改變CHADDR值的dos攻擊

攻擊原理:攻擊者持續大量地向DHCP Server申請IP地址,直到耗盡DHCP Server地址池中的IP地址,導致DHCP Server不能給正常的用戶進行分配。
漏洞分析:DHCP Server向申請者分配IP地址時,無法區分正常的申請者與惡意的申請者。
解決方法為了避免受到攻擊者改變CHADDR值的攻擊,可以在設備上配置DHCP Snooping功能,檢查DHCP Request報文中CHADDR字段。如果該字段跟數據幀頭部的源MAC相匹配,轉發報文;否則,丟棄報文。從而保證合法用戶可以正常使用網絡服務。

4.3 中間人攻擊

攻擊原理:攻擊者利用ARP機制,讓Client學習到DHCP Server IP與Attacker MAC的映射關系,又讓Server學習到Client IP與Attacker Mac的映射關系。如此一來,Client與Server之間交互的IP報文都會經過攻擊者中轉。
漏洞分析:從本質上講,中間人攻擊是一種Spoofing IP/MAC攻擊,中間人利用了虛假的IP地址與MAC地址之間的映射關系來同時欺騙DHCP的客戶端和服務器。

解決方法為防御中間人攻擊與IP/MAC Spoofing攻擊,可使用DHCP Snooping的綁定表工作模式,當接口接收到ARP或者IP報文,使用ARP或者IP報文中的“源IP+源MAC”匹配DHCP Snooping綁定表。如果匹配就進行轉發,如果不匹配就丟棄。


配置應用

配置方式一:接口視圖
[Switch] dhcp snooping enable ipv4
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] dhcp snooping enable
[Switch-GigabitEthernet0/0/3] dhcp snooping trusted

配置方式二:VLAN視圖
[Switch] dhcp snooping enable ipv4 
[Switch] vlan 2
[Switch-vlan2] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] dhcp snooping trusted
執行命令display dhcp snooping interface,查看接口下的DHCP Snooping運行信息。
[Switch]display dhcp snooping interface GigabitEthernet 0/0/3
DHCP snooping running information for interface GigabitEthernet0/0/3 :
DHCP snooping : Enable
Trusted interface : Yes
Dhcp user max number : 1024 (default)
Current dhcp user number : 0
Check dhcp-giaddr : Disable  (default)
Check dhcp-chaddr : Disable  (default)
Alarm dhcp-chaddr : Disable  (default)
Check dhcp-request : Disable  (default)
Alarm dhcp-request : Disable  (default)
----- more ------
總 結
這次分享DHCP Snooping,一般企業局域網特別是無線連接都是采用DHCP自動獲取地址的方式訪問外網。
這個時候局域網中的終端如果不慎感染病毒就可能出現,DHCP Server仿冒者攻擊、DHCP Server的拒絕服務攻擊、仿冒DHCP報文攻擊等,通過在二層交換機配置DHCP Snooping信任功能可以有效的實現DHCP網絡安全。


本文作者:朱福生(上海新炬中北團隊)

本文來源:“IT那活兒”公眾號

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/129121.html

相關文章

  • DHCP原理與配置

    摘要:該圖是里面的操作內容,我們進行的配置。這里我們要進行配置的,這里設置的要與我們進行操作修改文件的這臺虛擬機的地址一致。 了解DHCP服務DHCP (Dynamic HostConfiguration Protocol,動態主機配置協議)由Internet工作任務小組設計開發專門用于為TCP/IP網絡中的計算機自...

    不知名網友 評論0 收藏0
  • 網絡協議 2 - IP 地址與 MAC 地址

    摘要:無類型域間選路顧名思義,無類型域間選路基本思想是取消地址的分類結構,取而代之的是允許以可變長分界的方式分配網絡數。 了解完網絡協議,我們會發現,網絡通信的五層模型里,有兩個很重要的概念:IP 地址和 MAC 地址。 那么 IP 地址是怎么來的,又是怎么沒的?MAC 地址與 IP 地址又有什么區別? 這回答上面問題前,先熱下身,大家知道如何查看本機的 IP 嗎?這個問題,即便是沒有專業學...

    jerry 評論0 收藏0

發表評論

0條評論

IT那活兒

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<