共计 3105 个字符,预计需要花费 8 分钟才能阅读完成。
这篇文章主要为大家展示了“DHCP*** 防御处理的示例分析”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让丸趣 TV 小编带领大家一起研究并学习一下“DHCP*** 防御处理的示例分析”这篇文章吧。
DHCP 应用背景:在局域网组网规模相对较大的环境中,为了提高网络管理效率减少网络管理中的繁复劳动我们一般会在局域网中架设 DHCP 服务器,并通过该服务器来自动为普通工作站提供合法 IP 地址提供上网服务;当局域网中的普通工作站连接到局域网络后,它会自动向局域网网络发送上网参数请求数据包,DHCP 服务器一旦接受到来自客户端系统的上网请求信息后,会自动为其提供合适的 IP 地址、网络掩码地址、网关地址以及 DNS 地址等参数,获得相应合法地址后客户端系统就能正常访问网络了,很显然 DHCP 服务器的稳定性将直接影响整个局域网网络的工作稳定。
如果在局域网中同时还存在另外一台不合法的 DHCP 服务器时或 DHCP 服务器遭受恶意 *** 时,整个局域网网络的运行稳定性将会受到破坏,普通工作站的上网将因无法获得可用的合法 IP 地址而出现混乱。为了让局域网网络运行始终稳定,我们需要想办法保护合法 DHCP 服务器的运行安全性,以避免其受到恶意 *** 或不合法 DHCP 服务器的“冲击”!
下面看一个图例:
1、交换机层面解决这个问题
通过交换机的端口安全性设置每个客户端主机 DHCP 请求指定端口上使用唯一的 MAC 地址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址,通常这个地址和客户端的 MAC 地址相同,如果 *** 者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR,实施 Dos ***,Port Security 就不起作用了,DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的,有些交换机需要配置,具体需要参考相关交换机的配置文档。
另外利用 DHCP Snooping 技术,通过建立和维护 DHCP Snooping 绑定表过滤不可信任的 DHCP 信息,这些信息是指来自不信任区域的 DHCP 信息。通过截取一个虚拟局域网内的 DHCP 信息,交换机可以在用户和 DHCP 服务器之间担任就像小型安全防火墙这样的角色,“DHCP 监听”功能基于动态地址分配建立了一个 DHCP 绑定表,并将该表存贮在交换机里。在没有 DHCP 的环境中,如数据中心,绑定条目可能被静态定义,每个 DHCP 绑定条目包含客户端地址 (一个静态地址或者一个从 DHCP 服务器上获取的地址)、客户端 MAC 地址、端口、VLAN ID、租借时间、绑定类型 (静态的或者动态的)。
当交换机开启了 DHCP-Snooping 后,会对 DHCP 报文进行侦听,并可以从接收到的 DHCP Request 或 DHCP Ack 报文中提取并记录 IP 地址和 MAC 地址信息。另外,DHCP-Snooping 允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口会将接收到的 DHCP Offer 报文丢弃。这样,可以完成交换机对假冒 DHCP Server 的屏蔽作用,确保客户端从合法的 DHCP Server 获取 IP 地址。
基本配置命令示例如下:
全局命令:
ip dhcp snooping vlan 10,20 * 定义哪些 VLAN 启用 DHCP 嗅探
ip dhcp snooping
接口命令:
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) * 一定程度上防止 DHCP 拒绝服务 ***
手工添加 DHCP 绑定表:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 192.168.1.2 interface gi1/1 expiry 1000
导出 DHCP 绑定表到 TFTP 服务器
ip dhcp snooping database tftp:// 10.1.1 .1/file
需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh、ftp、tftp) 或导出到指定 TFTP 服务器上,否则交换机重启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,不会再次发起 DHCP 请求。如果此时交换机己经配置了 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。
注:对于类似 Gobbler 的 DHCP 服务的 DOS*** 可以利用 Port Security 限制源 MAC 地址数目加以阻止,对于有些用户随便指定地址,造成网络地址冲突也可以利用 DAI 和 IP Source Guard 技术。有些复杂的 DHCP*** 工具可以产生单一源 MAC 地址、变化 DHCP Payload 信息的 DHCP 请求,当打开 DHCP 侦听功能,交换机对非信任端口的 DHCP 请求进行源 MAC 地址和 DHCP Payload 信息的比较,如不匹配就阻断此请求。
2、客户端服务器层面解决这个问题
客户端处理:在客户端主机上我们可以在 DOS 命令行提示符下执行“arp -s 192.168.2.45 00-01-02-03-04-05 来绑定客户端的 IP 和 MAC,同时执行“arp -s 192.168.2.1 00-01-02-6E-3D-2B” 来绑定网关的 IP 和 MAC,或者在客户端主机上安装一些 ARP 防病毒软件来避免此类的 ***。
一旦发现自己的客户端不能正常上网时,我们可以在 DOS 命令行提示符下执行“ipconfig/release”字符串命令,来将之前获得的不正确上网参数释放出来。
然后尝试执行“ipconfig/renew”字符串命令,来重新向局域网发送上网参数请求数据包,如果上述命令返回错误的结果信息,那么我们可以在本地系统运行对话框中继续执行“ipconfig/release”、“ipconfig /renew”字符串命令,直到客户端工作站获得有效的上网参数信息为止。
服务器端处理:
通常情况下,局域网中的普通工作站安装使用的都是 Windows 操作系统,在 Windows 工作站系统为主的局域网环境中,我们可以通过域管理模式来保护合法 DHCP 服务器的运行安全性,同时过滤不合法的 DHCP 服务器,确保该 DHCP 服务器不会为局域网普通工作站分配错误的上网参数信息。我们只要在局域网域控制器中,将合法有效的 DHCP 服务器主机加入到活动目录中,就能保证局域网中的所有普通工作站都会自动从合法有效的 DHCP 服务器那里,获得正确的上网参数信息了。这是因为域中的普通工作站向网络发送广播信息,申请上网参数地址时,位于同一个域中的合法有效的 DHCP 服务器,会自动优先响应普通工作站的上网请求,如果局域网指定域中的 DHCP 服务器不存在或失效时,那些没有加入指定域中的不合法 DHCP 服务器才有可能响应普通工作站的上网请求。
当然我们也可以尝试通过域管理加 ISA 安全管理的方式来实现更为细致的管理和控制。在域中设置一台单独的 DHCP 服务器,DHCP 服务器通过 MAC 地址来为客户端分发固定的 IP,ISA 服务器发布 DHCP 服务器并通过不同的策略设置来限定客户端的权限,这样可以实现粒度更为细致的安全管理。
注:域管理模式对于局域网规模比较小的单位来说,几乎没有多大实际意义,因为小规模的局域网几乎都是工作组工作模式,这种工作模式下合法有效的 DHCP 服务器是无法得到安全保护的。
以上是“DHCP*** 防御处理的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!