许多大型企业由于使用网络的员工人数众多,IP地址的使用问题日益困扰着网络管理人员,通过手动分配IP地址的网络环境中经常引发IP地址冲突以及IP地址管理混乱的问题。而通过部署DHCP服务器为客户端提供网络服务,能够大大方便网络管理。客户端连入网络后会发送DHCP请求包,DHCP服务器会应答并提供IP地址、子网掩码、网关,DNS等信息。但是,当网络中出现另外一台非法的DHCP服务器将会怎样呢?显而易见,这必然造成网络的混乱,IP攻击也就会触发。“内鬼”难防,如何防呢? 今天我们就为大家介绍一下DHCP攻防原理,并为大家推荐一款能够有效抵御DHCP攻击的NEWDON NBADswitchII+系列交换机。
工作原理
Dynamic Host Configuration Protocol, (DHCP) 动态主机配置协议,主要的目的是为用户主机动态分配IP地址, 客户端是端口68,而服务器是67。
工作过程
如上图为DCHP最重要的5步分配、获取工作过程,其DHCP 封包类型细节如下表:
DHCP message |
用途 |
|
DHCP Discover |
Client端广播发出给DHCP Server端。 |
|
DHCP Offer |
DHCP Server单播回应分配相关参数给Client(IP、subnet Mask)。 |
|
DHCP Request |
Client针对收到的Offer广播回应DHCP Server。 |
|
DHCP ACK |
Server确定Client的Request请求。 |
|
DHCP NAK |
Server拒绝Client的Request请求。 |
|
DHCP Release |
Client释放IP地址。 |
|
DHCP Inform |
Client请求配置参数。 |
|
DHCP Decline |
Client通知ServerIP地址已经耗尽。 |
攻击防护
攻击实现原理
常用DHCP攻击方式:
DHCP Rogue Server
(如下图)当Client主机发送DHCP Discover 查询广播封包到LAN中,Rogue DHCP Server 在接收到Client 查询包的同时将回应一个DHCP offer给Client,分配非法的IP 、Default Router、DNS信息给Client。
DOS Attacks DHCP攻击
恶意主机会使用DOS Attack攻击方法将合法的DHCP Server 地址段全部消耗完毕,其主要做法是通过伪造随机的MAC来封装和发送DHCP Discover封包,只要数量足够大,完全有可能消耗掉DHCP Server 中的IP地址池,正常主机发送DHCP Server 将会被拒绝,无法分配到IP地址等参数。
DHCP攻击防护
MAC+端口绑定
DOS Attacks DHCP攻击,恶意主机通常会使用随机的MAC的来伪装,通过使用NEWDON NBADswitchII+的MAC+端口绑定可以过滤或减轻ARP欺骗攻击行为;DOS Attack DHCP中还有种比较隐蔽的方式是仅只修改DHCP Client MAC,而MAC绑定的方式对此是无效的,需要使用下面3.1.3介绍的ACL来方式来过滤。
DHCP服务器防护功能
NEWDON NBADswitchII为DHCP服务器提供了防护功能,在交换机对用户端口禁止使用非法的DHCPServer的接入,将全部过滤DHCP Rogue Server 分发给Client主机的IP 地址等信息。
ACL
NEWDON NBADswitchII+ 虽然没有单独提供DHCP Spoofing防护功能,但它提供了ACL,可以针对DHCP的特征封包来防护DHCP欺骗等攻击。(如下图)可以在连接用户主机的交换机端口,禁止源端口为67,目标端口为68的UDP封包,就可以将过滤掉非法的DHCP欺骗封包以保护其主机使用合法DHCP Server。防范DHCP Rogue Server的攻击方式。
对于DOS Attacks DHCP攻击方式,可以通过ACL来控制减少此类攻击。
相信通过本文的介绍,大家对于DHCP攻防原理也会有进一步的了解。而文中介绍的NEWDON NBADswitchII+系列交换机是纽盾科技旗下的产品,该公司虽然是一家新兴成立的网络安全设备供应商,但凭借出色的产品质量、强大的研发能力、雄厚的技术实力以及完善周到的售后服务让纽盾的产品拥有强悍的市场竞争力,有兴趣的朋友不妨可以关注一下。
电话:021-51619288
传真:021-51619298
mail:sales@newdon.net
网址:www.newdon.net
