最近几天给全楼的办公网做改造和整理,接入上网行为管理,搞完之后原来接入就很混乱的课题组楼层出现部分无法正常上网的问题。

一番排查过后发现是混进来了来一台开启DHCP服务的设备,虽然不是有意的不过也能算是DHCP Server仿冒攻击了。

DHCP Server仿冒攻击确实非常讨厌,因为DHCP协议是个广播协议,搞得同vlan的端口接入终端自动获取IP都不正常,可把人恶心坏了~

防御办法现查的产品手册,找了一个比较简单的配置弄上去瞬间就正常了,不过这个办法的弊端就是会消耗交换机的CPU,先临时这么弄吧。

总结一下DHCP Server仿冒攻击交换机防御配置方法,这次涉及的范围都是使用的华为交换机,以下内容就以华为S5700为例。(在现场环境里的S2700因为软件版本过低并不支持dhcp snooping功能):

1.DHCP Server仿冒攻击简介:

由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。

如下图1-1和图1-2所示DHCP通信模式,因为DHCP Discover报文是以广播形式发送,所以无论是合法的DHCP Server,还是非法的Bogus DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

图1-1 DHCP Client以广播形式发送DHCP Discover报文示意图

图1-2 Bogus DHCP Server仿冒者攻击示意图

如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS(Domain Name System)服务器、错误的IP等信息。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。

2.DHCP Server仿冒攻击现象描述:

DHCP Client无法获取到正确的IP地址,用户无法正常访问网络。

3.DHCP Server仿冒攻击定位思路:

一般在业务部署的时候,防DHCP Server仿冒攻击就应该考虑。很少等到问题发生了才部署防DHCP Server仿冒攻击。如果出现该类问题,一般可以查看客户端DHCP相关信息,来确定问题原因。

4.DHCP Server仿冒攻击问题根因:

DHCP申请IP地址的交互流程中,客户端发送的是广播报文。如图1-2所示,仿冒的DHCP服务器也可以截获DHCP Client发送的DHCP Discover请求报文,为DHCP Client分配地址。

5.DHCP Server仿冒攻击处理步骤:

思路:通过DHCP Snooping功能来控制DHCP请求跟应答报文的交互,防止仿冒的DHCP服务器为DHCP Client分配IP地址以及其他配置信息。

第一步、全局使能DHCP Snooping业务

<HUAWEI> system-view
[HUAWEI] dhcp enable 
[HUAWEI] dhcp snooping enable

第二步、终端接入的端口上配置DHCP Snooping功能,或者也可以直接把DHCP  Snooping配置在VLAN上,这样比较方便。

逐个端口配置,或者启用port-group端口组来统一配置。

[HUAWEI] interface GigabitEthernet 0/0/1  
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable
[HUAWEI] interface GigabitEthernet 0/0/2  
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable

直接在接入交换机的vlan中配置

[HUAWEI]vlan 100
[HUAWEI-vlan100] dhcp snooping enable

第三步、连接DHCP服务器的端口或者向上层交换机获取DHCP的端口配置成信任端口

[HUAWEI] interface GigabitEthernet 1/0/4

[HUAWEI-GigabitEthernet1/0/4] dhcp snooping trusted

OK,到这里就全部搞定了,伪造的DHCP服务器收到DHCP广播后发回的报文不再允许通过,并且所有终端只信任从可信端口过来的DHCP报文。