许多大型企业由于使用网络的员工人数众多,IP地址的使用问题日益困扰着网络管理人员,通过手动分配IP地址的网络环境中经常引发IP地址冲突以及IP地址管理混乱的问题。而通过部署DHCP服务器为客户端提供网络服务,能够大大方便网络管理。客户端连入网络后会发送DHCP请求包,DHCP服务器会应答并提供IP地址、子网掩码、网关,DNS等信息。但是,当网络中出现另外一台非法的DHCP服务器将会怎样呢?显而易见,这必然造成网络的混乱,IP攻击也就会触发。“内鬼”难防,如何防呢?今天我们就为大家介绍一下DHCP攻防原理,并为大家推荐一款能够有效抵御DHCP攻击的NEWDONNBADswitchII+系列交换机。
工作原理
DynamicHostConfigurationProtocol,(DHCP)动态主机配置协议,主要的目的是为用户主机动态分配IP地址,客户端是端口68,而服务器是67。
工作过程
如上图为DCHP最重要的5步分配、获取工作过程,其DHCP封包类型细节如下表:
DHCPmessage |
用途 |
| DHCPDiscover | Client端广播发出给DHCPServer端。 |
| DHCPOffer | DHCPServer单播回应分配相关参数给Client(IP、subnetMask)。 |
| DHCPRequest | Client针对收到的Offer广播回应DHCPServer。 |
| DHCPACK | Server确定Client的Request请求。 |
| DHCPNAK | Server拒绝Client的Request请求。 |
| DHCPRelease | Client释放IP地址。 |
| DHCPInform | Client请求配置参数。 |
| DHCPDecline | Client通知ServerIP地址已经耗尽。 |
攻击防护
攻击实现原理
常用DHCP攻击方式:
DHCPRogueServer
(如下图)当Client主机发送DHCPDiscover查询广播封包到LAN中,RogueDHCPServer在接收到Client查询包的同时将回应一个DHCPoffer给Client,分配非法的IP、DefaultRouter、DNS信息给Client。
DOSAttacksDHCP攻击
恶意主机会使用DOSAttack攻击方法将合法的DHCPServer地址段全部消耗完毕,其主要做法是通过伪造随机的MAC来封装和发送DHCPDiscover封包,只要数量足够大,完全有可能消耗掉DHCPServer中的IP地址池,正常主机发送DHCPServer将会被拒绝,无法分配到IP地址等参数。
DHCP攻击防护
MAC+端口绑定
DOSAttacksDHCP攻击,恶意主机通常会使用随机的MAC的来伪装,通过使用NEWDONNBADswitchII+的MAC+端口绑定可以过滤或减轻ARP欺骗攻击行为;DOSAttackDHCP中还有种比较隐蔽的方式是仅只修改DHCPClientMAC,而MAC绑定的方式对此是无效的,需要使用下面3.1.3介绍的ACL来方式来过滤。
DHCP服务器防护功能NEWDONNBADswitchII为DHCP服务器提供了防护功能,在交换机对用户端口禁止使用非法的DHCPServer的接入,将全部过滤DHCPRogueServer分发给Client主机的IP地址等信息。
ACLNEWDONNBADswitchII+虽然没有单独提供DHCPSpoofing防护功能,但它提供了ACL,可以针对DHCP的特征封包来防护DHCP欺骗等攻击。(如下图)可以在连接用户主机的交换机端口,禁止源端口为67,目标端口为68的UDP封包,就可以将过滤掉非法的DHCP欺骗封包以保护其主机使用合法DHCPServer。防范DHCPRogueServer的攻击方式。
对于DOSAttacksDHCP攻击方式,可以通过ACL来控制减少此类攻击。
相信通过本文的介绍,大家对于DHCP攻防原理也会有进一步的了解。而文中介绍的NEWDONNBADswitchII+系列交换机是纽盾科技旗下的产品,该公司虽然是一家新兴成立的网络安全设备供应商,但凭借出色的产品质量、强大的研发能力、雄厚的技术实力以及完善周到的售后服务让纽盾的产品拥有强悍的市场竞争力,有兴趣的朋友不妨可以关注一下。
网友评论