DHCP Snooping应用
DHCP Snooping技术主要用于DHCP Server仿冒者攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击防范,以抵御网络中针对DHCP的各种攻击。
防止DHCP Server仿冒者攻击
如图1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。
图1 DHCP Client发送DHCP Discover报文示意图
如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误IP地址、网关地址和DNS服务器的等信息。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。
图2 DHCP Server仿冒者攻击示意图
解决方法
为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。
将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。
图3 Trusted/Untrusted工作模式示意图
配置命令
执行命令system-view,进入系统视图。
执行命令dhcp snooping enable [ ipv4 | ipv6 ],全局使能DHCP Snooping功能。
使能DHCP Snooping功能。
a. 执行命令vlan vlan-id,进入VLAN视图;或执行命令interface interface-type interface-number,进入连接用户的接口视图。
b. 执行命令dhcp snooping enable,使能接口或VLAN下的DHCP Snooping功能。
在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则对该接口下的所有DHCP报文命令功能生效。
配置接口为“信任”状态
a. 执行命令interface interface-type interface-number,进入接口视图。
b. 执行命令dhcp snooping trusted,配置接口为“信任”接口。
缺省情况下,接口的状态为“非信任”状态。
防止DHCP报文泛洪攻击
在DHCP网络环境中,若攻击者短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击,可能会导致设备无法正常工作。
解决方法
为了有效的防止DHCP报文泛洪攻击,在使能设备的DHCP Snooping功能时,可同时使能设备对DHCP报文上送DHCP报文处理单元的速率进行检测的功能。此后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。
配置命令
执行命令system-view,进入系统视图。
配置限制DHCPv4报文的上送速率和告警功能。
配置限制DHCPv4报文的上送速率:
系统视图下:
a. 执行命令dhcp snooping check dhcp-rate enable,使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。
b. 执行命令dhcp snooping check dhcp-rate rate,配置DHCP报文上送DHCP报文处理单元的最大允许速率。
VLAN视图下或接口视图下:
a. 执行命令vlan vlan-id,进入VLAN视图;或执行命令interface interface-type interface-number,进入接口视图。
b. 执行命令dhcp snooping check dhcp-rate enable,使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。
c. 执行命令dhcp snooping check dhcp-rate rate,配置DHCP报文上送DHCP报文处理单元的最大允许速率。
d. 执行命令quit,返回到系统视图。
配置告警功能:
系统视图下:
a. 执行命令dhcp snooping alarm dhcp-rate enable,使能当丢弃的DHCP报文数达到告警阈值时的告警功能。
b. 执行命令dhcp snooping alarm dhcp-rate enable threshold,配置接口下被丢弃的DHCP报文的告警阈值。
接口视图下:
a. 执行命令interface interface-type interface-number,进入接口视图。
b. 执行命令dhcp snooping alarm dhcp-rate enable,使能当丢弃的DHCP报文数达到告警阈值时的告警功能。
c. 执行命令dhcp snooping alarm dhcp-rate enable threshold,配置接口下被丢弃的DHCP报文的告警阈值。
d. 执行命令quit,返回到系统视图。
配置以上功能前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。
配置限制DHCP报文的上送速率时:
在系统视图配置时,则对设备所有的接口有效;在接口视图配置时,则仅针对该接口有效;在VLAN视图配置时,则对属于该VLAN的所有接口有效。
在系统视图、VLAN视图、接口视图同时配置最大允许的上送速率时,则以三者中的最小值为准。
配置告警功能时:
在系统视图配置时,则对设备所有的接口有效;在接口视图配置时,则仅针对该接口有效。
在系统视图、接口视图下同时配置告警阈值时,则以两者最小值为准。
防止仿冒DHCP报文攻击
已获取到IP地址的合法用户通过向服务器发送DHCP Request或DHCP Release报文用以续租或释放IP地址。
如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址;而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。
解决方法
为了有效的防止仿冒DHCP报文攻击,可利用DHCP Snooping绑定表的功能。设备通过将DHCP Request续租报文和DHCP Release报文与绑定表进行匹配操作能够有效的判别报文是否合法(主要是检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表),若匹配成功则转发该报文,匹配不成功则丢弃。
配置命令
1. 开启对DHCP报文进行绑定表匹配检查的功能
执行命令system-view,进入系统视图。
执行命令vlan vlan-id,进入VLAN视图;
或执行命令interface interface-type interface-number,进入接口视图。执行命令dhcp snooping check dhcp-request enable,开启对DHCP报文进行绑定表匹配检查的功能。
执行命令dhcp snooping check dhcp-chaddr enable,开启检测DHCPRequest报文帧头源MAC地址与CHADDR字段是否相同的功能。
在VLAN视图下执行以下命令,对属于该VLAN的所有接口都生效;在接口下执行该命令,仅对该接口生效。
2. (可选)开启DHCP Snooping告警功能
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。
执行命令dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } enable,开启DHCPSnooping告警功能。
3. (可选)配置告警阈值
若在系统视图、接口视图下同时进行了配置,则接口下DHCP Snooping丢弃报文数量的告警阈值以两者最小值为准。
系统视图下:
执行命令system-view,进入系统视图。
执行命令dhcp snooping alarm threshold threshold,配置DHCPSnooping丢弃报文数量的告警阈值。
接口视图下:
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。
执行命令dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } threshold threshold,配置DHCP Snooping丢弃报文数量的告警阈值。
在系统视图下执行该命令,则对设备所有的接口该命令功能生效。
缺省情况下,全局DHCP Snooping丢弃报文数量的告警阈值为100packets,接口下DHCP Snooping丢弃报文数量的告警阈值为在系统视图下使用命令dhcp snooping alarm threshold配置的值。
防止DHCP Server服务拒绝攻击
如图4所示,若设备接口if1下存在大量攻击者恶意申请IP地址,会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。
另一方面,DHCP Server通常仅根据DHCP Request报文中的CHADDR(Client Hardware Address)字段来确认客户端的MAC地址。如果某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址,同样将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。
chaddr (client hardware address):表示客户端的MAC地址,此字段与其前面的“hardware type”和“hardware length”保持一致。当客户端发出DHCP请求时,将自己的硬件地址填入此字段。
图4 DHCPServer服务拒绝攻击示意图
解决方法
为了抑制大量DHCP用户恶意申请IP地址,在使能设备的DHCP Snooping功能后,可配置设备或接口允许接入的最大DHCP用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到IP地址。
而对通过改变DHCP Request报文中的CHADDR字段方式的攻击,可使能设备检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,此后设备将检查上送的DHCP Request报文中的帧头MAC地址是否与CHADDR值相等,相等则转发,否则丢弃。
配置命令
1. 执行命令system-view,进入系统视图。
2. 配置接口允许学习的DHCP Snooping绑定表项的最大个数,可在系统视图、VLAN视图或接口视图下配置。
· 系统视图下:
执行命令dhcp snooping max-user-number max-user-number vlan { vlan-id1[ to vlan-id2 ] } &<1-10>,配置设备允许学习的DHCP Snooping绑定表项的最大个数。
执行该命令后,设备所有的接口允许学习的DHCP Snooping绑定表项之和为该命令所配置的值。
(可选)执行命令dhcp snooping user-alarm percentage percent-lower-valuepercent-upper-value,配置DHCP Snooping绑定表的告警阈值百分比。
VLAN视图或接口视图下:
执行命令vlan vlan-id,进入VLAN视图;或执行命令interface interface-type interface-number,进入接口视图。
执行命令dhcp snooping max-user-number max-user-number ,配置接口允许学习的DHCP Snooping绑定表项的最大个数。
3. 使能对报文的CHADDR字段进行检查功能,可在系统视图、VLAN视图或接口视图下进行配置。
系统视图下:
执行命令dhcp snooping check dhcp-chaddr enable vlan { vlan-id1[ to vlan-id2 ] } &<1-10>,使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能。
(可选)执行命令dhcp snooping alarm threshold threshold,配置全局DHCP Snooping丢弃报文数量的告警阈值。
VLAN视图或接口视图下:
执行命令vlan vlan-id,进入VLAN视图;或执行命令interface interface-type interface-number,进入接口视图。
执行命令dhcp snooping check dhcp-chaddr enable,使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能。
(可选)执行命令dhcp snooping alarm dhcp-chaddr threshold threshold,配置帧头MAC地址与DHCP数据区中CHADDR字段不匹配而被丢弃的DHCP报文的告警阈值。
在系统视图下执行该命令,则设备所有的接口该命令功能生效。
缺省情况下,全局DHCP Snooping丢弃报文数量的告警阈值为100packets,接口下DHCP Snooping丢弃报文数量的告警阈值为在系统视图下使用命令dhcp snooping alarm threshold配置的值。
若在系统视图、接口视图下同时进行了配置,则接口下DHCP Snooping丢弃报文数量的告警阈值以两者最小值为准。
DHCP Snooping应用相关推荐
- ip dhcp snooping
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一.DHCP ...
- (一)Cisco DHCP Snooping原理(转载)
采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...
- dhcp snooping+IPSG的一些理解
dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP bindi ...
- 使用交换机的dhcp snooping拒绝非法dhcp服务
我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取. 其实此次变更 ...
- (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...
- DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping
一.DHCP简介 DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指 ...
- DAI、DHCP SNOOPING、ip source guard、IPSG
switch 3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...
- CCIE-LAB-第五篇-DHCP+DHCP-Realy+DHCP snooping
CCIE-LAB-第五篇-DHCP+DHCP-Realy+DHCP snooping 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 问题 翻译: 第1.5节:针对HQ ...
- 开启Cisco交换机DHCP Snooping功能
5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...
- dhcp snooping华为_使用DHCP snooping 功能防止DHCP Server仿冒者攻击(华为交换机)
在全局视图和VLAN视图下使能DHCP Snooping. [Quidway]dhcp enable [Quidway]dhcp snooping enable [Quidway]vlan 11 [Q ...
最新文章
- TCL withSNPS info existscreate_cellcreate_netconnect_net
- 广工计算机专业离散数学考试题,广工华立2014年离散数学期末考试试题(配答案)...
- CSS学习笔记3:选择器及优先级
- 一般通话记录能保存多少条_鸡蛋放冰箱,能保存多少天?正确保存方法是什么?...
- python 截取字符串6位_在Python中从字符串获取x个最低有效位
- POJ 3268:Silver Cow Party 求单点的来回最短路径
- CV+游戏,美国游戏开发公司 Rockstar Games 寻找优秀动画程序员
- 怎样使计算机屏幕看着不累,电脑族的显示器如何摆最不累
- 口语技巧-Part2答题逻辑
- “升级 iOS 最新系统后,我弃用了 iPhone!”
- mysql管理密码修改及管理权限设定(zz)
- sql 统计节点和子节点下面的数量_一次900万+数据量的 SQL 查询优化分析「上百倍性能优化」...
- httpclient java多线程_Apache HttpClient4.5多个HTTP请求使用多线程执行
- 最新开源:BundleTrack - 无需任何CAD模型的6D物体姿态跟踪算法(谷歌X实习生)...
- 不那么SQL的SQL代码(一)if not exists(...) insert
- 基于Python的指数基金量化投资 - 指数投资技巧(二)定期不定额
- html鼠标悬停效果加边框,js实现鼠标悬浮给图片加边框的方法
- 机器学习——LASSO算法
- LINUX时间格式转换
- matlab怎么画碎石图,R语言学习笔记-主成分分析(PCA)