云顶天的世界 云顶天的世界
  • 首页
  • 生活/杂谈
  • 摄影/游记
  • 折腾/玩物
  • 评论/观点
  • 运动/撸铁
  • 工作/笔记
  • 云顶天的朋友
  • 注册
  • 登录
首页 › 工作/笔记 › 办公网私搭DHCP服务器害死人

办公网私搭DHCP服务器害死人

云顶天
4年前工作/笔记阅读 1,170

最近几天给全楼的办公网做改造和整理,接入上网行为管理,搞完之后原来接入就很混乱的课题组楼层出现部分无法正常上网的问题。

一番排查过后发现是混进来了来一台开启DHCP服务的设备,虽然不是有意的不过也能算是DHCP Server仿冒攻击了。

DHCP Server仿冒攻击确实非常讨厌,因为DHCP协议是个广播协议,搞得同vlan的端口接入终端自动获取IP都不正常,可把人恶心坏了~

防御办法现查的产品手册,找了一个比较简单的配置弄上去瞬间就正常了,不过这个办法的弊端就是会消耗交换机的CPU,先临时这么弄吧。

总结一下DHCP Server仿冒攻击交换机防御配置方法,这次涉及的范围都是使用的华为交换机,以下内容就以华为S5700为例。(在现场环境里的S2700因为软件版本过低并不支持dhcp snooping功能):

1.DHCP Server仿冒攻击简介:

由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。

如下图1-1和图1-2所示DHCP通信模式,因为DHCP Discover报文是以广播形式发送,所以无论是合法的DHCP Server,还是非法的Bogus DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

办公网私搭DHCP服务器害死人-云顶天的世界

图1-1 DHCP Client以广播形式发送DHCP Discover报文示意图

办公网私搭DHCP服务器害死人-云顶天的世界

图1-2 Bogus DHCP Server仿冒者攻击示意图

如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS(Domain Name System)服务器、错误的IP等信息。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。

2.DHCP Server仿冒攻击现象描述:

DHCP Client无法获取到正确的IP地址,用户无法正常访问网络。

3.DHCP Server仿冒攻击定位思路:

一般在业务部署的时候,防DHCP Server仿冒攻击就应该考虑。很少等到问题发生了才部署防DHCP Server仿冒攻击。如果出现该类问题,一般可以查看客户端DHCP相关信息,来确定问题原因。

4.DHCP Server仿冒攻击问题根因:

DHCP申请IP地址的交互流程中,客户端发送的是广播报文。如图1-2所示,仿冒的DHCP服务器也可以截获DHCP Client发送的DHCP Discover请求报文,为DHCP Client分配地址。

5.DHCP Server仿冒攻击处理步骤:

思路:通过DHCP Snooping功能来控制DHCP请求跟应答报文的交互,防止仿冒的DHCP服务器为DHCP Client分配IP地址以及其他配置信息。

第一步、全局使能DHCP Snooping业务

<HUAWEI> system-view
[HUAWEI] dhcp enable 
[HUAWEI] dhcp snooping enable

第二步、终端接入的端口上配置DHCP Snooping功能,或者也可以直接把DHCP  Snooping配置在VLAN上,这样比较方便。

逐个端口配置,或者启用port-group端口组来统一配置。

[HUAWEI] interface GigabitEthernet 0/0/1  
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable
[HUAWEI] interface GigabitEthernet 0/0/2  
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable

直接在接入交换机的vlan中配置

[HUAWEI]vlan 100
[HUAWEI-vlan100] dhcp snooping enable

第三步、连接DHCP服务器的端口或者向上层交换机获取DHCP的端口配置成信任端口

[HUAWEI] interface GigabitEthernet 1/0/4

[HUAWEI-GigabitEthernet1/0/4] dhcp snooping trusted

OK,到这里就全部搞定了,伪造的DHCP服务器收到DHCP广播后发回的报文不再允许通过,并且所有终端只信任从可信端口过来的DHCP报文。

交换机 网络 网络安全
赞(0)
周末当然是在家躲山竹啊~
上一篇
一创业便开始怪力乱神,这算是一个怪圈吗?
下一篇
最新文章
  • 用vlog记录生活,露脸的那种~刺激吧! 2022年7月6日
  • 坦克300提车一个月,各方面感觉良好,就是不能出去玩 2022年4月25日
  • 这次没有空军了,收获巨大! 2022年4月15日
  • 啊!空军了!找点客观原因 2022年4月9日
  • 祖传鱼竿整备了一下,先钓个胖头鱼 2022年4月6日
标签
linux NAS vlog 健身 减肥 华为 博客 大学 女儿 妈妈 婴儿 孩子 宝宝 宠物 工作 戒烟 房子 手机 折腾 摄影 故障 旅游 旅行 日记 楚玥 模型 汽车 游戏 爸爸 狗 生活 电影 童年 网站 网络 网络测试 群晖 装修 观点 视频 评测 评论 运动 追追 镜头
股票笔记1,实操半年总结
云顶天
2,199 1
dedecms 5.7sp2在搜索结果页调用自定义字段的方法
云顶天
3,353 0
远程传输故障排查案例1
云顶天
2,061 0
被笔记本罕见故障折腾了好几天
云顶天
2,811 0
  • 0
关于云顶天

草木一生,人生一世,总得给留下点什么。博客似乎是个不错的载体,就在这里开始吧!

分类
首页 生活/杂谈 摄影/游记 折腾/玩物 评论/观点 运动/撸铁 工作/笔记 云顶天的朋友
串门
boke112导航 胡言胡语 俍注 读来依然摄影博客 nicetheme 千淘万漉 龙行博客 猫鱼
Copyright © 2018-2023 云顶天的世界. Designed by nicetheme.
  • 首页
  • 生活/杂谈
  • 摄影/游记
  • 折腾/玩物
  • 评论/观点
  • 运动/撸铁
  • 工作/笔记
  • 云顶天的朋友
# 摄影 # # 生活 # # 日记 # # 女儿 # # 健身 #
云顶天
213
文章
140
评论
50
喜欢