基于交換機(jī)阻止非法DHCP服務(wù)器攻擊的實(shí)現(xiàn)

孫中全,陳開兵

（滁州職業(yè)技術(shù)學(xué)院，安徽 滁州239000）

校園網(wǎng)絡(luò)DHCP 服務(wù)是一種非常常見的服務(wù)，該服務(wù)簡(jiǎn)化了海量學(xué)生PC、教室PC、服務(wù)器的地址配置工作。然而有些校園網(wǎng)用戶會(huì)接收到非法DHCP 服務(wù)器的攻擊行為，這種行為可能是一種惡意操作，也可能是一種無(wú)意操作，比如安裝Windows 2003 server 的服務(wù)器，或者使用無(wú)線路由器，啟用了DHCP 服務(wù)等。這些操作都可能會(huì)對(duì)校園網(wǎng)的運(yùn)行產(chǎn)生負(fù)面影響，一方面，正常用戶從非法DHCP 獲得錯(cuò)誤IP 地址信息；另一方面，有些用戶從非法DHCP 獲得的地址會(huì)和其他正常用戶產(chǎn)生地址沖突，從而影響校園網(wǎng)用戶的正常運(yùn)行。

一、實(shí)現(xiàn)分析

為防止網(wǎng)絡(luò)中非法DHCP 服務(wù)器為客戶端分配錯(cuò)誤的IP 地址信息，僅允許合法DHCP 服務(wù)器為客戶端提供服務(wù)。利用交換機(jī)的DHCP 監(jiān)聽特性，合理配置交換機(jī)相應(yīng)端口參數(shù)，可以解決非法DHCP服務(wù)器為客戶端分配IP 地址信息的問(wèn)題。

二、 網(wǎng)絡(luò)拓?fù)?/h2>

圖1 網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)拓?fù)鋱D如圖1 所示。其中，核心層交換機(jī)CZSW1 的Fa0/1 連接DHCP Server 并啟用trust 功能，F(xiàn)a0/2 端口設(shè)置為trunk 并啟用trust 功能，連接接入層交換機(jī)CZSW2 的Fa0/24 端口。接入層交換機(jī)Fa0/24 端口設(shè)置為trunk 口，與核心層交換機(jī)級(jí)聯(lián)并啟用trust 功能，其它端口設(shè)置為access 類型，用于連接終端設(shè)備。網(wǎng)絡(luò)中的無(wú)線寬帶路由器的LAN端口連接在接入層交換機(jī)的Fa0/2端口，啟用了DHCP 功能，分配地址池為:192.168.1.100-192.168.1.254。DHCP服務(wù)器地址為172.16.100.3,分配地址池為:172.16.5.2-172.16.5.254。

三、實(shí)現(xiàn)原理

交換機(jī)的DHCP 監(jiān)聽特性可以通過(guò)過(guò)濾網(wǎng)絡(luò)中接入的非法DHCP 發(fā)送DHCP 報(bào)文增強(qiáng)網(wǎng)絡(luò)安全性。DHCP 監(jiān)聽還可以檢查DHCP 客戶端發(fā)送的DHCP 報(bào)文的合法性，防止DHCP DoS 攻擊。

四、網(wǎng)絡(luò)環(huán)境配置

(一)配置DHCP 服務(wù)器

配置網(wǎng)絡(luò)中的Windows 2003 server 服務(wù)器(合法的DHCP 服務(wù)器)，DHCP 服務(wù)器的IP 地址:172.16.100.3, 其分配地址池為 172.16.5.2 -172.16.5.254. 配置網(wǎng)絡(luò)中的TP-Link 無(wú)線寬帶路由器，啟用DHCP 服務(wù)（非法的DHCP 服務(wù)器），其分配地址范圍是:192.168.1.100-192.168.1.254。

(二)CZSW2 基本配置（接入層）

(三)CZSW1 基本配置（核心層）

(四)將CZSW1 配置為DHCP 中繼代理

(五)驗(yàn)證測(cè)試

首先確定DHCP 服務(wù)器和路由器的DHCP 能夠正常工作，將客戶端計(jì)算機(jī)配置為自動(dòng)獲得地址，接入交換機(jī)端口，此時(shí)可以看到客戶端獲得的IP 地址，如圖2 所示，其為路由器提供的錯(cuò)誤IP 地址信息。

圖2 錯(cuò)誤的IP 地址信息

在客戶端使用Ethereal 捕獲的報(bào)文信息，如圖3 所示?？蛻舳耸紫冉邮盏铰酚善靼l(fā)送的DHCP Offer 報(bào)文，后收到通過(guò)DHCP Relay 發(fā)送的DHCP Offer 報(bào)文。根據(jù)DHCP 協(xié)議實(shí)現(xiàn)方式，客戶端將使用第一個(gè)收到的響應(yīng)報(bào)文中的信息，因此從非法的路由器獲取了錯(cuò)誤的IP 地址信息。

圖3 Ethereal 獲取的報(bào)文信息

五、阻止非法DHCP 服務(wù)器攻擊

(一)在CZSW1 上配置DHCP 監(jiān)聽

(二)在CZSW2 上配置DHCP 監(jiān)聽

(三)阻止攻擊驗(yàn)證測(cè)試

釋放客戶端之前獲得的IP 地址（使用windows命令ipconfig/release）,再使用ipconfig/renew 重新獲得地址，可以看到客戶端獲得了從DHCP 服務(wù)器地池中分配的正確IP，如圖4 所示。

圖4 正確的IP 地址信息

由于配置了DHCP 監(jiān)聽功能，并且路由器連接的端口為非信任端口，所以交換機(jī)丟棄了路由器發(fā)送的響應(yīng)報(bào)文，如圖5 所示。為在客戶端上使用Ethereal 捕獲的報(bào)文，可以看出客戶端接收到了通過(guò)DHCP Relay 發(fā)送的DHCP Offer 報(bào)文，未接收到路由器發(fā)送的DHCP Offer 報(bào)文。

圖5 Ethereal 報(bào)文信息

六、總結(jié)

由圖5 可以看出，合理地配置和啟用交換機(jī)的DHCP 監(jiān)聽特性功能，有效的阻止了校園局域網(wǎng)內(nèi)路由器啟用的DHCP 服務(wù)對(duì)網(wǎng)絡(luò)的影響，同樣也可以阻止網(wǎng)絡(luò)中私自搭建非法DHCP 服務(wù)器對(duì)網(wǎng)絡(luò)的攻擊。有效地解決了網(wǎng)絡(luò)中由非法DHCP 服務(wù)器造成的IP 地址混亂、沖突等問(wèn)題，保障了網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行。

[1]銳捷網(wǎng)絡(luò).網(wǎng)絡(luò)互聯(lián)與實(shí)現(xiàn)[M].北京：北京希望電子出版社,2006，11.

[2]方洋.構(gòu)建高級(jí)的交換網(wǎng)絡(luò)（BASN）[M].北京：電子工業(yè)出版社,2008，8.

[3]高峽,鐘嘯劍,李永俊.網(wǎng)絡(luò)設(shè)備互連實(shí)驗(yàn)指南[M].北京：科學(xué)出版社,2009，4.

[4]汪雙頂,徐江峰.計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建與管理[M].北京：高等教育出版社,2008，2.

[5]王繼龍.局域網(wǎng)安全管理實(shí)踐教程[M].北京：清華大學(xué)出版社,2009，7.