使用基于DHCP探測(cè)的技術(shù)防止交換網(wǎng)絡(luò)的欺騙攻擊

摘要：局域網(wǎng)通常會(huì)配置DHCP服務(wù)器，通過(guò)DHCP服務(wù)器的使用可以方便管理員對(duì)網(wǎng)絡(luò)的管理和維護(hù)，如果攻擊者在網(wǎng)絡(luò)中架設(shè)非法的DHCP服務(wù)器，同時(shí)使正常的服務(wù)器癱瘓，可以形成中間人攻擊，獲取用戶信息。通過(guò)配置DHCP探測(cè)技術(shù)可以確保DHCP應(yīng)答信息的有效性，防止攻擊者通過(guò)假DHCP服務(wù)器去響應(yīng)用戶的請(qǐng)求，預(yù)防欺騙攻擊。

關(guān)鍵詞：Vlan；DHCP Snooping；IPSG；DAI

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 21-0000-02

1 DHCP的工作原理

1.1 DHCP簡(jiǎn)介

DHCP（動(dòng)態(tài)主機(jī)設(shè)置協(xié)議，Dynamic Host Configuration Protocol）是一個(gè)自動(dòng)分配IP地址及相關(guān)地址信息的協(xié)議，常用于局域網(wǎng)，當(dāng)然也可以跨網(wǎng)段工作，使用UDP協(xié)議工作。使用DHCP服務(wù)器可以在網(wǎng)絡(luò)中自動(dòng)分配地址及相關(guān)地址信息給客戶機(jī)，這樣可以避免管理員逐臺(tái)計(jì)算機(jī)去設(shè)置地址，同時(shí)也避免人為的錯(cuò)誤。

1.2 DHCP的工作機(jī)制

DHCP的工作機(jī)制是協(xié)商實(shí)現(xiàn)的，分為4個(gè)階步驟。

第一步：發(fā)現(xiàn)階段?？蛻舳税l(fā)送DHCP Discover 消息，該消息以廣播方式發(fā)送，如果跨網(wǎng)段則需要使用中繼，通過(guò)這種方式找到正在工作中的DHCP服務(wù)器。

第二步：提供階段。DHCP服務(wù)器收到DHCP Discover 消息后，使用DHCP Offer消息應(yīng)答，在該消息中包含建議客戶端使用的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS地址等信息，該消息也以廣播的方式發(fā)送。

第三步：選擇階段。客戶端如接受DHCP Offer消息則發(fā)送DHCP Request消息。當(dāng)然客戶端有可能會(huì)收到網(wǎng)絡(luò)上存在的多個(gè)DHCP服務(wù)器的應(yīng)答消息，這個(gè)時(shí)候會(huì)存在一個(gè)選擇的問(wèn)題，客戶端往往會(huì)選擇它收到的第一個(gè)應(yīng)答信息，向該機(jī)器發(fā)送DHCP Request消息。

第四步：確認(rèn)階段。DHCP服務(wù)器確認(rèn)所提供的地址信息會(huì)使用DHCP ACK消息應(yīng)答客戶端的請(qǐng)求，批準(zhǔn)客戶端使用前面第二步中的地址信息。否則，它會(huì)發(fā)送DHCP NAK信息，并且收回第二步所提供的地址。

經(jīng)過(guò)以上幾步后，最終客戶端會(huì)獲得一份地址租約，在租約規(guī)定的時(shí)間可以一直使用該地址信息。

2 DHCP欺騙攻擊

DHCP欺騙攻擊的實(shí)施過(guò)程如下：

第一步：攻擊者把沒(méi)有授權(quán)的DHCP服務(wù)器連接到交換網(wǎng)絡(luò)中的交換機(jī)端口上。

第二步：攻擊者發(fā)送大量的DHCP請(qǐng)求（可以視為Dos攻擊），使服務(wù)器忙于響應(yīng)這些請(qǐng)求，最終會(huì)耗盡DHCP服務(wù)器上能夠提供的IP地址，以后沒(méi)有能力再去分配地址給合法的用戶。

第三步：非法的DHCP服務(wù)器充當(dāng)原來(lái)的合法的DHCP服務(wù)器的角色，為合法的客戶端分配IP及地址信息，如果分配了假的網(wǎng)關(guān)和DNS地址，會(huì)導(dǎo)致客戶端的數(shù)據(jù)流流向指定的計(jì)算機(jī)，然后再發(fā)送到真正的網(wǎng)關(guān)設(shè)備，形成中間人攻擊，這樣客戶端所有上網(wǎng)的流量都要經(jīng)過(guò)這臺(tái)假的網(wǎng)關(guān)設(shè)備，攻擊者可以通過(guò)這種方式獲取用戶上網(wǎng)時(shí)輸入的賬戶信息，從而達(dá)到攻擊目的。

3 DHCP Snooping的工作原理

對(duì)于黑客使用的DHCP欺騙，可以通過(guò)交換機(jī)上的DHCP Snooping功能加以預(yù)防。通過(guò)交換機(jī)記錄通過(guò)的數(shù)據(jù)包里面的信息，特別是MAC地址與IP地址的對(duì)應(yīng)關(guān)系，可以有效的防止針對(duì)內(nèi)網(wǎng)中的DHCP欺騙。

DHCP Snooping的核心有兩個(gè)方面。第一個(gè)是設(shè)置信任端口和不信任端口，可信任端口發(fā)出的DHCP應(yīng)答才是有效的應(yīng)答，如果交換機(jī)在不可信端口上偵測(cè)到了DHCP應(yīng)答，這個(gè)時(shí)候交換機(jī)會(huì)關(guān)閉該端口，不可信端口只允許發(fā)出DHCP請(qǐng)求。第二個(gè)是建立DHCP綁定表，在表中每個(gè)條目中包含計(jì)算機(jī)的MAC地址、IP地址、租期、綁定類(lèi)型以及客戶端所連接的端口ID信息等。如果在網(wǎng)絡(luò)中存在跨越網(wǎng)絡(luò)中的DHCP請(qǐng)求，這個(gè)時(shí)候可以使用DHCP Option 82，客戶端在向遠(yuǎn)程網(wǎng)絡(luò)請(qǐng)求IP地址的時(shí)候會(huì)被插入Option 82，在DHCP服務(wù)器發(fā)回的響應(yīng)報(bào)文中也會(huì)包含這個(gè)選項(xiàng)，這些選項(xiàng)會(huì)被中繼交換機(jī)檢查看一判斷是否是合法的報(bào)文（合法的報(bào)文應(yīng)該是該選項(xiàng)對(duì)應(yīng)的值相同），同時(shí)交換機(jī)會(huì)記錄響應(yīng)的地址信息以供下次判斷時(shí)使用。

4 配置DHCP Snooping

5 結(jié)語(yǔ)

通過(guò)在交換機(jī)的DHCP Snooping的配置，可以有效的防止內(nèi)網(wǎng)的DHCP欺騙，從而保護(hù)內(nèi)網(wǎng)的用戶獲得正確的DHCP服務(wù)器分配的地址，而私設(shè)的DHCP服務(wù)器由于處在非信任端口，其應(yīng)答的數(shù)據(jù)包會(huì)被交換機(jī)攔截，該端口會(huì)被交換機(jī)禁用。

參考文獻(xiàn)：

[1]美 David Hucaby.CCNP交換學(xué)習(xí)指南.人民郵電出版社.

[2]田文勇，李常先.解決DHCP環(huán)境下私自指定IP和私自搭建DHCP服務(wù)器的方法[J].福建電腦.2008.

[3]任斌.ARP攻擊分析及防御解決方法[J].長(zhǎng)春工學(xué)院學(xué)報(bào)，2008.

[4]陳平仲.大型局域網(wǎng)中IP地址非法使用解決方案探討[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2006.

[5]周明天等：TCP/IP網(wǎng)絡(luò)原理與技術(shù)[J].清華大學(xué)出版社，1993.