您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

DHCP服务如何配置才能尽量减少被攻击的可能

时间:2019-07-15 10:37:59  来源:  作者:

DHCP Snooping是啥?

DHCP Snooping是DHCP的一种安全特性,用来保证DHCP客户端能够正确的从DHCP服务器获取IP地址,防止网络中针对DHCP的攻击。

DHCP Snooping是如何防止DHCP攻击的呢?

DHCP,动态主机配置协议,在IPv4网络中为客户端动态分配IP地址,采用客户端/服务器通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出申请,服务器返回为客户端分配的IP信息,包括IP地址、缺省网关、DNS Server等参数。

DHCP服务如何配置才能尽量减少被攻击的可能

 

DHCP组网中包括以下两种角色:

  1. DHCP客户端(DHCP Client):通过DHCP协议请求获取IP地址的设备,如IP电话、PC等。
  2. DHCP服务器(DHCP Server):负责为DHCP客户端分配IP地址的设备。

DHCP常见攻击方式

DHCP服务如何配置才能尽量减少被攻击的可能

 

DHCP Server仿冒攻击:非法用户通过仿冒DHCP Server,为客户端分配错误的IP地址,导致客户端无法正常接入网络。

DHCP报文仿冒攻击:

1、已获取到IP地址的合法用户通过向服务器发送DHCP Request报文用以续租IP地址。非法用户冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,导致到期的IP地址无法正常回收,新的合法用户不能再获得IP地址。

2、已获取到IP地址的合法用户通过向服务器发送DHCP Release报文用以释放IP地址。非法用户仿冒合法用户向DHCP Server发送DHCP Release报文,使合法用户异常下线。

DHCP报文泛洪攻击:

非法用户在短时间内发送大量DHCP报文,使DHCP Server无法正常处理报文,从而无法为客户端分配IP地址。

DHCP Server拒绝服务攻击

1、非法用户通过恶意申请IP地址,使DHCP服务器中的IP地址快速耗尽,无法为合法用户再分配IP地址

2、DHCP Server通常仅根据DHCP Request报文中的CHADDR(Client Hardware Address)字段来确认客户端的mac地址。非法用户通过不断改变CHADDR字段向DHCP Server申请IP地址,使DHCP服务器中的IP地址快速耗尽,无法为合法用户再分配IP地址。

DHCP Snooping针对不同的DHCP攻击方式提供相应的防御方法,其一般配置在接入交换机上。

DHCP Server仿冒攻击

配置接入交换机与DHCP Server相连的接口为信任接口,只有信任接口能够接收和转发DHCP报文。

DHCP报文仿冒攻击

在DHCP Server为客户端分配IP地址过程中,根据DHCP报文生成DHCP Snooping绑定表,该绑定表记录MAC地址、IP地址、租约时间、VLAN ID、接口等信息,然后通过DHCP报文与绑定表的合法性检查,丢弃非法报文,防止DHCP报文仿冒攻击。

DHCP报文泛洪攻击

限制DHCP报文上送CPU的速率。

DHCP Server拒绝服务攻击

1、通过限制DHCP Snooping绑定表的个数,限制用户接入数。当用户数达到指定值时,任何用户将无法通过此接口申请到IP地址。

2、通过检查DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段的一致性,丢弃不一致的报文,防止非法用户攻击。

DHCP Snooping的各种防御方法应该怎么配置呢?

DHCP服务如何配置才能尽量减少被攻击的可能

 

DHCP PC1和DHCP PC2通过SwitchA向DHCP Server申请IP地址。通过在SwitchA上配置DHCP Snooping功能,防止以下类型的攻击:

  1. DHCP Server仿冒攻击
  2. DHCP报文仿冒攻击
  3. DHCP报文泛洪攻击
  4. DHCP Server拒绝服务攻击、

S交换机的配置方法如下:

1、全局和接口下使能DHCP Snooping功能。

[SwitchA] dhcp enable //需要先全局使能DHCP功能
[SwitchA] dhcp snooping enable
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable
[SwitchA-GigabitEthernet0/0/2] quit

2、连接DHCP Server的接口配置为信任接口,防止DHCP Server仿冒者攻击。

[SwitchA] interface gigabitethernet 0/0/4
[SwitchA-GigabitEthernet0/0/4] dhcp snooping enable
[SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted
[SwitchA-GigabitEthernet0/0/4] quit

3、DHCP报文与绑定表的合法性检查,防止DHCP报文仿冒攻击。

[SwitchA] dhcp enable
[SwitchA] dhcp snooping check dhcp-request enable vlan 10 //对VLAN 10内的用户进行合法性检查

4、限制DHCP报文上送CPU的个数,防止DHCP报文泛洪攻击。

[SwitchA] dhcp snooping check dhcp-rate enable //使能对DHCP报文上送CPU的速率检测功能
[SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多处理90个DHCP报文

5、配置DHCP Snooping绑定表个数和DHCP Request报文帧头源MAC地址与CHADDR字段一致性检查功能,防止DHCP Server拒绝服务攻击。

[SwitchA] dhcp snooping max-user-number 2 vlan 10 //配置VLAN 10内只允许两个用户接入
[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10 


Tags:DHCP   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。  例子:  version 1...【详细内容】
2021-09-06  Tags: DHCP  点击:(63)  评论:(0)  加入收藏
1. 实验说明:在前面的文章中我们已经学会了如何在windows server2019上搭建dhcp服务器了,但是其中客户端会根据服务器端地址池依次获取地址。比如dhcp服务器的地址池范围是 19...【详细内容】
2021-08-25  Tags: DHCP  点击:(257)  评论:(0)  加入收藏
很多朋友在使用光猫和路由器连接时,只知道将光猫与路由器正常连接,然后选择宽带拨号的方式进行联网,就可以正常使用了。但如果是在这台路由器的基础上,额外再连接一台路由器,就不...【详细内容】
2021-07-22  Tags: DHCP  点击:(99)  评论:(0)  加入收藏
说到DHCP服务器,就一定会和IP有关系,我们一起首先看DHCP服务器帮助,如下:DHCP服务器能够自动给局域网当中的设备分配IP、子网掩码等TCP/IP协议参数。 地址池开始/结束地址 DHCP...【详细内容】
2021-02-24  Tags: DHCP  点击:(242)  评论:(0)  加入收藏
今天,没事干,安装了一个服务器的操作系统来玩一下,服务器的操作系统是Windows server 2012 R2。给大家讲解一下如何在服务器上搭建DHCP服务器。1.安装服务器操作系统的过程忽略...【详细内容】
2021-01-25  Tags: DHCP  点击:(357)  评论:(0)  加入收藏
大家好,我是老盖,感谢观看本篇文章,本文做的也有视频,也可以看我发布的视频。今天给大家讲一下,自己出门在外,远程连接家中的路由器,可以看一下有没有人连接自己的路由器。我们首先...【详细内容】
2020-11-19  Tags: DHCP  点击:(141)  评论:(0)  加入收藏
什么是网关、DNS、子网掩码,它有什么作用,确实,我们平时在网络中总是在不断的提到网关,却很少真正的去了解它。一、什么是网关1、什么是网关网关是一种充当转换重任的计算机系统...【详细内容】
2020-10-10  Tags: DHCP  点击:(83)  评论:(0)  加入收藏
今天给大家带来日常工作中经常用到的一个技术,那就是DHCP技术,细节类型请转战其他地方即可,理论一大把,不具体细说了。不做同质化内容。拓扑 看过我的视频的同学都应该知道这个...【详细内容】
2020-09-07  Tags: DHCP  点击:(238)  评论:(0)  加入收藏
一、配置拓扑 二、 关键配置1、配置VLAN、Trunk1)、SW1的配置SW1#show vlan briefVLAN Name Status Ports---- -------------------------------- --------- ---------------...【详细内容】
2020-08-31  Tags: DHCP  点击:(85)  评论:(0)  加入收藏
========== 实验环境 ==========Windows Server 2003Windows XPKali Linux 2020.2========== 实验环境 ==========DHCP地址池耗尽攻击:频繁的发送伪装DHCP请求,直到将DHCP地址...【详细内容】
2020-08-21  Tags: DHCP  点击:(249)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条