DHCP DHCP Snooping
一、DHCP
DHCP中继代理原理
问题:
-当客户机和DHCP服务器不在一个广播域时,DHCP服务器无法接收到客户机的DHCP discover广播数据包,客户机就无法获得IP地址;
解决:
-在客户机所在的广播域中,寻找一台路由器,这台路由器一个端口在客户机所在的广播域,另外一个端口在DHCP服务器所在的广播域,让这台路由器主动接收客户机的DHCP discover数据包,然后由这台路由器代替客户机向DHCP服务器申请IP地址,得到地址后,再把这个地址交给客户机,这台服务器称之为DHCP中继代理服务器;
二、DHCP Snooping
1、DHCP Snooping 概述
1)DHCP面临的安全威胁
-DHCP协议应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击:
&:DHCP Server仿冒者攻击
&:DHCP 饿死攻击
-为了保证网络的安全性,引入DHCP Snooping技术
2)DHCP Snooping是什么
-DHCP Snooping是DHCP的一种安全特性
-DHCP Snooping在DHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
3)DHCP Snooping 作用
-防止网络上针对DHCP的攻击
-增强网络的安全性、设备的可靠性、业务的稳定性
2、DHCP Server仿冒者攻击
1)仿冒攻击攻击原理:
-由于DHCP 服务器和DHCP 客户端之间没有认证机制,所以如果在网络上随意添加一台恶意的DHCP服务器,它就可以为客户端分配恶意且错误的IP地址,不仅可以导致客户端无法上网,而且容易造成客户端信息泄露,从而会对网络造成非常大的危害,**为什么会这样呢?**
-因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露
2)如何防御DHCP Server仿冒者攻击
-DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP地址
-DHCP Snooping信任功能将接口分为信任接口和非信任接口
- 信任接口:
&:信任接口接收DHCP服务器回应的的 DHCP ACK、DHCP Offer
&:设备只会将DHCP客户端的请求报文通过信任接口发送给合法的DHCP服务器
- 非信任接口:
&:非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP Offer报文后,会丢弃该报文
-所以我们将连接合法DHCP服务器的接口设置为信任接口即可,其他接口默认是非信任接口
&:连接合法DHCP服务器的接口为信任接口
&:连接客户端的接口开启snooping功能
3、DHCP饿死攻击
1)什么是饿死攻击
-饿死攻击也称DHCP Server服务拒绝攻击(拒绝服务攻击)
-黑客机发送大量恶意请求报文,不断的申请IP地址,导致DHCP服务器中IP地址池中IP地址被耗尽,由于DHCP服务器IP地址池枯竭,没有空闲的IP地址,所以无法为正常主机分配IP地址。
2)饿死攻击是如何实现的
由于DHCP 服务器通常仅根据DHCP Request报文中的CHADDR(主机MAC地址)来分配IP地址,
黑客主机,攻击者通过不断改变报文中的CHADDR(MAC地址)字段向DHCP 服务器申请IP地址,将会导致DHCP 服务器上的IP地址池被耗尽,从而无法为其他正常用户提供IP地址。
3)如何防御饿死攻击
-为了防止黑客主机恶意申请IP地址,在交换机中开启DHCP Snooping 功能,检测数据帧中的源MAC与DHCP报文中CHADDR(MAC地址)是否一致功能,如果两个MAC地址相同就进行数据转发,如果两个MAC地址不同就把丢弃报文。
备注:
-不过目前黑客攻击手动越来越强,这种防御方式作用也越来越小
-目前黑客主机在发起DHCP饿死攻击的时候,不在仅仅修改DHCP报文中CHADDR(MAC地址)
-黑客通常会将帧头的源MAC地址和DHCP报文中的CHADDR(MAC地址)同时进行修改,每一个攻击报文中,两个MAC地址都是相同的,所以通过一致性检查,无法有效的防御此类攻击,
所以目前为了防止DHCP 饿死攻击,不仅需要配置DHCP Snooping ,还需要配置端口安全,通过端口安全可以更加有效的防止DHCP饿死攻击
DHCP DHCP Snooping相关推荐
- DHCP + DHCP snooping
DHCP DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少. 减少网络管理 TCP/I ...
- DHCP 中继Snooping解释以及配置
一.DHCP中继配置 1.拓扑图 R5充当客户端.为192.168.1.0段,R3充当DHCP中继,R6充当DHCP server DHCP server 的地址为6.6.6.6 R3与R6在192. ...
- DHCP|什么是DHCP|DHCP介绍
DHCP是Dynamic Host Configuration Protocol的缩写,它是TCP/IP协议簇中的一种,主要是用来给网络客户机分配动态的IP地址.这些被分配的IP地址都是DHCP服务器 ...
- 【Cisco NA】单臂路由+DHCP+DHCP中继+GRE Tunnel
①配置单臂路由 ✔ ②在Branch上开启DHCP,同时PC1.PC2能通过DHCP获取到IP地址,并且互相能访问 ✔ ③关闭Branch上DHCP并配上DHCP中继,在server上配置DHCP ...
- 计算机关闭dhcp,dhcp应该开启还是关闭_dhcp关闭会怎么样
dhcp是动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自 ...
- DHCP+DHCP中继
目录 一.DHCP定义 1.DHCP的作用 2.DHCP的好处 3.架构 二.DHCP的工作原理 三.租期 四.DHCP服务的实现 五.同网段DHCP服务的实现 六.不同网段DHCP服务的实现 总结 ...
- dhcp(dhcp服务异常)
DHCP有什么作用吗? DHCP也可用于直接为服务器和桌面计算机分配地址,并且通过一个PPP代理,也可为拨号及宽带主机,以及住宅NAT网关和路由器分配地址 DHCP服务是怎样的? DHCP的数据库被组 ...
- php dhcp,dhcp是什么意思
dhcp是什么意思? dhcp即动态主机设置协议,是一个局域网的网络协议,使用UDP协议工作.主要是给网络快速自动地分配IP地址,DHCP能够帮助我们将IP地址和相关IP信息分配给网络中计算机. dh ...
- DHCP/DHCP中继运行原理
文章目录 前言 一.DHCP产生背景 二.DHCP基本知识点 三.DHCP运行原理 四.DHCP Relay 工作原理 前言 我当初在查阅相关资料时,发现目前网络上DHCP介绍的已经是十分详细,但是D ...
最新文章
- group by详解
- C#和Javascript间互转的Xxtea加解密
- CentOS6.X 系统安装图文教程,超详细
- php ado,常用的php ADODB使用方法集锦
- C++中全局函数和局部函数的关系
- 某大佬的20+公司面试题总结和自己的补充
- 数据结构之自建算法库——链栈
- python中字典的键是唯一的吗_Python怎么通过字典的键和值做一个登录程序?
- 江苏大学考研885程序设计 - 编程题笔记
- linux 免密登录
- ExtAspNet v3.1.9
- 滚轮事件的防冒泡、阻止默认行为
- MyBatis——13用mybatis实现银行转账
- JavaScript函数,思维导图
- 操作系统概念 第六章 同步
- WIN10+CUDA10.1+cudnn+Anaconda安装TensorflowGPU版本
- 网上药店需要戴上“紧箍咒”
- 查看变量 IFS 的值
- SSL证书报错类型及解决方法
- power shell 脚本编程