Discuz! Board

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 28|回复: 0

分析:DHCP Snooping如何工作

[复制链接]

20万

主题

0

回帖

60万

积分

超级版主

Rank: 8Rank: 8

积分
607494
发表于 3 天前 | 显示全部楼层 |阅读模式
1什么是DHCPSnooping
DHCPSnooping也叫DHCP窥探,是一种常应用在二层接入设备的DHCP安全协议,它通过监听DHCP报文来拦截局域中不合法的DHCP流量,从而防止DHCP攻击,提升络安全。部署了DHCPSnooping的设备能够现以下动作:
●过滤不受信端口的DHCP应答报文;
●构建和维护DHCPSnooping绑定表,其中包含用户获取到的IP信息以及用户MAC地址、D、PORT和租约时间等信息;
●通过与ARP检测功能或ARPCheck功能配合使用,可以进一步现控制用户合法使用IP地址的目的。
2DHCPSnooping如何工作
21DHCP工作原理
在介绍DHCPSnooping如何工作之前,先简要说明DHCP的工作机制。
DHCP是一个被广泛应用的、为局域内主机动态分配IP地址等重要信息的协议。一次DHCP协议交互可以简单概括为如下4个步骤:
(1)DHCP客户端通过广播DHCPDiscover报文来向局域内的DHCP服务器请求服务。
(2)DHCP服务器根据自身配置的IP地址池、相应的子掩码和关等信息,通过DHCPOffer报文应答客户端。
(3)若接受DHCPOffer报文中的配置,DHCP客户端则广播DHCPRequest报文以通告DHCP服务器和局域内其他主机其生效的IP地址。
(4)比较后,服务器将会应答DHCPACK报文给客户端进行比较终确认。
如图2-1中,通过DHCP协议交互,客户端从DHCP地址池中租用了IP地址10001124,并得知局域内关地址为10001。那么,客户端后续的IP数据将发往关10001现与广域的通信。
图2-1DHCP协议原理示意图


22DHCPSnooping防止服务欺攻击
由于DHCPDiscoverRequest是广播报文,假如局域中加入了攻击者,那么它便可以获取到络内每一台主机的DHCP请求信息。通过修改IP地址或者关等信息伪造DHCPOfferACK报文应答主机,来达到使用户法上或者窃取用户信息的目的,这种攻击方式被称为DHCP服务欺攻击。如图2-2,攻击者为了截获局域内用户的流量,将自己本地的IP地址10002作为虚假关地址,非法应答客户端的DHCP请求。后续,客户端的IP数据包将会发往虚假关,造成信息露。如果攻击者在截获流量的同时对真关和客户端之间的数据进行转发,那么络内受到攻击的主机将感受不到断等络异常,隐蔽性极强。
图2-2DHCP欺攻击示意图


在设备上开启DHCPSnooping功能,把连接可信服务器的端口设置为Trust口,其余皆为Untrust口,DHCPSnooping能够有效的防止上文所述的DHCP服务欺攻击。如图2-3,在DeceA上开启DHCPSnooping功能,只有服务器的DHCPOfferACK报文能够通过Trust口送达客户端,攻击者设备由于连接在Untrust口上,其发送的非法DHCPOfferACK报文将不允许通过,从而保证客户端能够获得正确的络配置,避免了信息露。
图2-3DHCPSnooping防止DHCP欺攻击示意图


23DHCPSnooping防止伪造报文攻击
除了仿冒DHCP服务器,攻击者还能仿冒DHCP客户端对DHCP服务器发起攻击。如图2-4,攻击者通过非法截获DHCP客户端在局域内广播的DHCPDiscover报文获取其MAC地址,从而仿冒MAC伪造不同的DHCP客户端向DHCP服务器大量发送非法请求报文,使得DHCP服务器的IP地址池被消耗,甚至抢夺络内合法客户端的IP地址。一旦服务器的IP地址池被非法请求耗空,络内的其他合法主机将由于法通过DHCP获得IP地址而断。这种攻击方式被称为伪造DHCP报文攻击,也是一种典型的DoS攻击。
图2-4伪造DHCP报文攻击示意图


除了过滤Untrust口的非法DHCP应答报文,DHCPSnooping通过进一步维护DHCP绑定表项来防止伪造报文攻击。DHCP绑定表项通过窥探合法DHCP报文来对客户端的MAC地址、IP地址租期、接口号和VLAN信息等建立起关联并且维护,从而对后续DHCP客户端请求报文进行过滤。如图2-5,在DeceA上部署DHCPSnooping功能并将与客户端主机相连的接口设置为Untrust口。那么,所有通过Untrust口的DHCP请求报文将会首先进行DHCP绑定表项匹配。由于攻击者伪造的报文与DeceA上维护的绑定表法匹配,伪造报文将会被丢弃,从而有效阻止了这类攻击。
图2-5DHCPSnooping防止伪造DHCP报文攻击示意图


3结语
DHCPSnooping作为DHCP安全特性,除了能通过对Untrust口非法DHCP流量的拦截以及绑定表的维护来防止DHCP服务欺攻击和伪造DHCP报文攻击外,还能通过与ARP协议联动防止ARP入侵。由于DHCP协议应用广泛,为提升络安全性能,在用户接入层部署支持DHCPSnooping特性的设备是十分必要的。
相关链接DHCP是什么DHCP工作流程


期间锐捷wifi7ap也做了许多的调整,调转了产品研发的方向,为了更好的迎合市场的需求。锐捷路由器产品系列包括,核心路由器、汇聚路由器、接入路由器、移动路由器、中小网络企业级路由器以及一系列路由器应用软件产品,如需进行路由器选购或想要了解更多详细的路由器方案、路由器推荐信息,欢迎咨询锐捷网络。https://www.ruijie.com.cn/cp/wx-fzhxwxjrd/ap9850r/

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|汕巨家居(浙江)有限公司

GMT+8, 2024-12-26 00:07 , Processed in 0.133361 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表