钟文基,董英
(广西水利电力职业技术学院,广西南宁530023)
利用DHCP监听技术解决局域网故障
钟文基,董英
(广西水利电力职业技术学院,广西南宁530023)
在企业的局域网中,通过架设DHCP服务器,用户可以动态获取IP地址等网络参数,能减少网络配置,减轻网络管理员的工作量,提高工作效率。然而,在客户端自动获取IP地址的网络中,如果局域网中出现多台DHCP服务器,就会造成计算机获取到错误的地址信息,导致网络故障。通过DHCP监听技术,可以阻挡非法的DHCP服务器对网络造成破环,减少故障的可能性。
DHCP;监听;信任端口;DAI;IPSG
1 DHCP监听简介
DHCP监听(DHCP Snooping)是一种DHCP安全特性。通过这一安全特性,能拦截局域网内出现的非法DHCP报文,预防客户机获取到错误的IP地址信息。启用DHCP监听特性的交换机,设置了信任端口和非信任端口,只转发来自于信任端口的DHCP Offer报文,对于非信任端口的DHCP Offer报文,则丢弃。同时,为了防止DHCP耗竭攻击,交换机会比较DHCP请求报文头部的源MAC地址和报文内容里的DHCP客户机的硬件地址,如果两者不一致,也会丢弃请求报文。
2 企业网络中DHCP的常见的问题
1)DHCP服务器的冒充
在企业网络中,如果出现假冒的DHCP服务器,就会给企业的网络的稳定运行带来风险。由于客户机和服务器之间没有认证机制,客户机开机后,可能从私设DHCP服务器处获取到错误的地址信息,导致网络故障,轻者用户无法上网,重者造成信息泄露。如图1
图1 DHCP服务器冒充
2)DHCP服务器的拒绝服务攻击
攻击者利用伪造的计算机物理地址发送DHCP请求,使得DHCP服务器的地址被耗尽,地址枯竭后服务器就没有足够的资源为其他合法计算机分配地址,造成网络不正常。对于此类攻击,我们往往采用端口安全的技术手段加于预防,但是如果攻击者不修改源计算机的物理地址,而是修改DHCP报文中的CHADDR字段的地址来进行攻击,也会绕过端口安全防范,导致服务器的地址资源被耗尽。攻击者发送修改了CHADDR字段的大量DHCP请求报文,会导致网络广播风暴,消耗网络带宽资源。
3)IP地址冲突
在局域网中,有的用户给计算机手工设置静态IP地址,这些地址可能与DHCP服务器分配的地址冲突,导致网络故障。
3 DHCP监听技术介绍
1)DHCP Snooping
通过在交换机上启用DHCP监听技术,交换机把端口分为两类:非信任端口和信任端口。在连接合法DHCP服务器的端口,或接入层交换机和汇聚层交换机之间的互连端口上设置为信任端口,可以正常接收所有的DHCP报文。而在连终端用户或不存在合法DHCP服务器链路的端口上设置非信任端口,会过滤网络中接收到的DHCP Offer报文,因为该端口接收的报文是交换机从外部网路、防火墙或者其他未经授权的DHCP服务器发送的,通常对网络具有破坏作用。DHCP监听技术还可以对端口接收到的DHCP Request报文进行限速,有效的避免DHCP请求报文的Dos攻击。如图2:
图2 DHCP Snooping功能
2)DAI动态ARP检测
DHCP监听中有一个监听绑定表,在这个DHCP监听绑定表中包含了客户端的IP地址、物理地址、端口号、VlAN编号、租用和绑定类型等相关的信息。在建立了DHCP监听绑定表后,在三层交换机上实施DAI(动态ARP检测),动态建立IP地址和MAC地址的绑定关系,拒绝静态IP的ARP请求来防止用户设置静态IP地址与DHCP服务器分配的IP地址冲突。动态ARP检测机制的作用,可以有效地防止攻击者通过配置与服务器分配的相同IP,导致地址冲突而影响网络通信。
3)IP Source Guard IP源保护
IP Source Guard用于同一个网络中,防止其他主机盗用IP地址。IP Source Guard配置在交换机端口上,并且对该端口生效,其作用是检查所通过流量的IP地址和MAC地址是否在DHCP Snooping绑定表中,如果不在绑定表中则阻塞这些流量,可以过滤非法的IP地址。
4 DHCP Snooping的配置
1)配置DHCP Snooping
SWITCH(config)#ip dhcp snooping//开启DHCP监听功能
SWITCH(config)#ip dhcp snooping vlan 10//设置DHCP监听功能将作用于vlan 10
SWITCH(config)#ip dhcp snooping verify mac-address//检测非信任端口CHADDR字段与源MAC是否相同
SWITCH(config)#interface fastethernet 0/1//进入快速以太网接口0/1
SWITCH(config-if)#ip dhcp snooping trust//配置该接口为DHCP监听特性的信任接口,其他未配置的接口默认为非信任接口
SWITCH(config-if)#ip dhcp snooping limit rate 30//限制非信任端口的DHCP报文速率为每秒30个包(默认为每秒15个包),可选速率范围为1-2048
2)配置DAI
SWITCH(config)#ip arp inspection vlan 10//在Vlan10启用DAI
SWITCH(config)#ip arp inspection validate src-mac dstmac ip//检查ARP(请求和响应)报文中的源MAC地址、目的MAC地址、源IP地址和DHCP Snooping绑定中的信息是否一致
SWITCH(config)#interface fastethernet 0/1//进入快速以太网接口0/1
SWITCH(config-if)#ip arp inspection trust//配置本接口为信任接口,该端口往往是连服务器的端口,或者上行端口。
3)配置IPSG
默认时,IPSG不检查所有接口的数据包,因此IPSG只需要在不信任接口上进行配置即可。
SWITCH(config)#int fa0/2
SWITCH(config-if)#ip verify source port-security//在本接口启用IPSG功能
SWITCH(config)#int range fa0/3-fa0/4
SWITCH(config-if)#ip verify source port-security
[1]孙秀洪.善用DHCP监听技术[J].网管员世界,2011(1).
[2]孙中全.基于交换机阻止非法DHCP服务器攻击的实现[J].滁州职业技术学院学报,2014(7).
[3]张韬.关于DHCP服务攻击的安全防护策略部署[J].计算机安全,2014(12).
TP393
A
1009-3044(2017)19-0036-02
2017-06-05
钟文基(1981—),男,广西灵山人,硕士,主要研究方向为网络安全、通信技术;董英(1979—),女,山东莱阳人,本科,主要研究方向为计算机应用、软件开发。
