- N +

办公网私搭DHCP服务器害死人

最近几天给全楼的办公网做改造和整理,接入上网行为管理,搞完之后原来接入就很混乱的课题组楼层出现部分无法正常上网的问题。

一番排查过后发现是混进来了来一台开启DHCP服务的设备,虽然不是有意的不过也能算是DHCP Server仿冒攻击了。

DHCP Server仿冒攻击确实非常讨厌,因为DHCP协议是个广播协议,搞得同vlan的端口接入终端自动获取IP都不正常,可把人恶心坏了~

防御办法现查的产品手册,找了一个比较简单的配置弄上去瞬间就正常了,不过这个办法的弊端就是会消耗交换机的CPU,先临时这么弄吧。


总结一下DHCP Server仿冒攻击交换机防御配置方法,这次涉及的范围都是使用的华为交换机,以下内容就以华为S5700为例。(在现场环境里的S2700因为软件版本过低并不支持dhcp snooping功能):

1.DHCP Server仿冒攻击简介:

由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。

如下图1-1和图1-2所示DHCP通信模式,因为DHCP Discover报文是以广播形式发送,所以无论是合法的DHCP Server,还是非法的Bogus DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

1-1G111211S1356.png

图1-1 DHCP Client以广播形式发送DHCP Discover报文示意图

1-1G111211432409.png

图1-2 Bogus DHCP Server仿冒者攻击示意图

如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS(Domain Name System)服务器、错误的IP等信息。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。


2.DHCP Server仿冒攻击现象描述:

DHCP Client无法获取到正确的IP地址,用户无法正常访问网络。


3.DHCP Server仿冒攻击定位思路:

一般在业务部署的时候,防DHCP Server仿冒攻击就应该考虑。很少等到问题发生了才部署防DHCP Server仿冒攻击。如果出现该类问题,一般可以查看客户端DHCP相关信息,来确定问题原因。


4.DHCP Server仿冒攻击问题根因:

DHCP申请IP地址的交互流程中,客户端发送的是广播报文。如图1-2所示,仿冒的DHCP服务器也可以截获DHCP Client发送的DHCP Discover请求报文,为DHCP Client分配地址。


5.DHCP Server仿冒攻击处理步骤:

思路:通过DHCP Snooping功能来控制DHCP请求跟应答报文的交互,防止仿冒的DHCP服务器为DHCP Client分配IP地址以及其他配置信息。

第一步、全局使能DHCP Snooping业务

<HUAWEI> system-view
[HUAWEI] dhcp enable 
[HUAWEI] dhcp snooping enable

第二步、终端接入的端口上配置DHCP Snooping功能,或者也可以直接把DHCP  Snooping配置在VLAN上,这样比较方便。

逐个端口配置,或者启用port-group端口组来统一配置。

[HUAWEI] interface GigabitEthernet 0/0/1  
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable
[HUAWEI] interface GigabitEthernet 0/0/2  
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable

直接在接入交换机的vlan中配置

[HUAWEI]vlan 100
[HUAWEI-vlan100] dhcp snooping enable


第三步、连接DHCP服务器的端口或者向上层交换机获取DHCP的端口配置成信任端口

[HUAWEI] interface GigabitEthernet 1/0/4

[HUAWEI-GigabitEthernet1/0/4] dhcp snooping trusted

OK,到这里就全部搞定了,伪造的DHCP服务器收到DHCP广播后发回的报文不再允许通过,并且所有终端只信任从可信端口过来的DHCP报文。


返回列表
上一篇:
下一篇:

发表评论中国互联网举报中心

快捷回复:

    评论列表 (已有16条评论,共257人参与)参与讨论
    网友昵称:俍注
    俍注游客3个月前 (09-25)回复
    小规模网络用DHCP服务器还是比较方便的。
    网友昵称:云顶天
    云顶天管理员3个月前 (09-26)回复
    @ 俍注 集群里也有用到,不过DHCP服务器还兼顾其他各种功能服务器于一身~arrow
    网友昵称:老虎
    老虎游客3个月前 (09-25)回复
    专业。学习了。
    网友昵称:云顶天
    云顶天管理员3个月前 (09-26)回复
    @ 老虎 neutral其实也就是局域网基本操作,只是很久没做这种办公网环境了,有点生疏,一直都是在搞大型集群网络~
    网友昵称:夏天烤洋芋
    夏天烤洋芋游客3个月前 (09-26)回复
    完全看不懂的。
    网友昵称:云顶天
    云顶天管理员3个月前 (09-27)回复
    @ 夏天烤洋芋 neutral日常生活中也没什么用
    网友昵称:李学江博客
    李学江博客游客3个月前 (09-27)回复
    对于这方面的知识,我一窍不通,太深奥了,
    网友昵称:云顶天
    云顶天管理员3个月前 (09-27)回复
    @ 李学江博客 其实计算机网络还是很好学的,逻辑清晰就OK了~
    网友昵称:wellen
    wellen游客3个月前 (09-28)回复
    我还以为是那个科学上网的影响呢。
    顺便问下,博主换链接吗?
    网友昵称:云顶天
    云顶天管理员3个月前 (09-28)回复
    @ wellen biggrin哈哈,完全两码事呢~暂时只换生活日志类的博客,不好意思啊~
    网友昵称:wellen
    wellen游客2个月前 (10-11)回复
    @ 云顶天 没事,呵呵~ have a nice day~
    网友昵称:懿古今
    懿古今游客2个月前 (09-29)回复
    以前学的就是这个,可惜毕业后很少接触这种知识,所以现在都忘记光了
    网友昵称:云顶天
    云顶天管理员2个月前 (09-29)回复
    @ 懿古今 这东西就是这样,不是经常做的话就忘记了~
    网友昵称:久伴博客
    久伴博客游客2个月前 (09-29)回复
    学习了,感谢博主分享
    网友昵称:小宇
    小宇游客2个月前 (10-25)回复
    华为的配置手册还是非常好用的!~~
    BTW.代码块的样式看着很舒服,我抄走了噢,哈哈。
    网友昵称:云顶天
    云顶天管理员2个月前 (10-25)回复
    @ 小宇 biggrin喜欢就拿去用吧~