《非法DHCP服务器攻击的防御》由会员分享,可在线阅读,更多相关《非法DHCP服务器攻击的防御(2页珍藏版)》请在装配图网上搜索。
1、非法DHCP服务器攻击的防御现今校园网络DHCP服务是一种非常常见的服务,该服务简化了海量学生PC、教室PC、服 务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为,这种行为可能 是一种恶意操作,也可能是一种无意无操作,比如安装Windows 2000 server的客户端,不小心 启用DHCP服务。这种操作无论哪种原因产生的,都会对校园网的运行产生负面影响。第一正常 用户从非法DHCP获得非法IP地址,就无法获取正确的网关和DNS等信息;第二有些客户从非法 DHCP获得的地址会和其他正常用户产生地址冲突,可能刚好和某些重要校园服务器地址冲突, 会影响校园网关键应用的运行
2、。非法DHCP服务器攻击原理正璃的DHCP Offer校园网DHCP Server错谍的DHCP Offer.分阳iE确前1FW1Q那题的DNS/在某些情况下,入侵者可以将一个DHCP服务器加入网络,令其“冒充”这个网段的DHCP服 务器。这让入侵者可以为缺省的网关和域名服务器(DNS和WINS )提供错误的DHCP信息,从而 将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限,例如用户名和 密码,而其他用户对攻击一无所知。过程如下:用户发出DHCP Request攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer用户采用第一个响应其请求的DH
3、CP Server,得到错的DHCP信息正确的DHCP Server发出DHCP Offer,用户不采用如何防范非法DHCP服务器攻击-DHCP Snooping非信任端口Ditr鞘口vn正确的DHUP Offer正昨的DHCP OfFer少碎晌I%Ml 正确的DNS1井明正琢的竭关,*DHCP Off久宀谩如前所述 DHCP Snooping 能够过滤来自网络中主机或其他设备的非信任 DHCP 报文,其中包 括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类 型等消息。交换机支持在每个 VLAN 基础上启用 DHCP Snooping 特性。因此,通过
4、使用DHCP Snooping特性中的端口信任特性来防止用户私自设置DHCP server。一旦 在设备上指定专门的 DHCPserver 服务器的接入端口则其他端口的 DHCPserver 的报文将被全部 丢弃。 启动DHCP Snooping,将合法DHCP Server的端口设为信任端口,其他端口默认情况 下均为非信任端口 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP OfferDHCP Snooping非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交 换机的下行端口(用户接口)设置为 DHCP Snooping untrust ,将上行端口(连向核心网和汇聚 网)设置为 DHCP Snooping trust。H3C E328/E352 E126A/E152 产品支持 DHCP Snooping 非信 任端口,可以有效防控校园网内部的非法DHCP服务器攻击发生。
非法DHCP服务器攻击的防御
