如何解決無(wú)線(xiàn)局域網(wǎng)內(nèi)偽造DHCP 服務(wù)器攻擊

唐磊

（重慶三峽職業(yè)學(xué)院信息化建設(shè)辦公室，重慶404155）

1 概述

我校某辦公樓內(nèi)出現(xiàn)計(jì)算機(jī)使用撥號(hào)客戶(hù)端連接上網(wǎng)提示“當(dāng)前網(wǎng)絡(luò)不可達(dá)，請(qǐng)稍后認(rèn)證”，無(wú)法認(rèn)證上網(wǎng)。使用ping 命令檢查網(wǎng)絡(luò)連通性，發(fā)現(xiàn)該辦公樓的網(wǎng)關(guān)地址正常連通，但獲取的DNS 地址為192.168.1.1，導(dǎo)致無(wú)法通過(guò)認(rèn)證。手動(dòng)配置計(jì)算機(jī)的IP 地址為192.168.1.250，網(wǎng)關(guān)地址為192.168.1.1，在瀏覽器中輸入http://192.168.1.1，可以訪(fǎng)問(wèn)無(wú)線(xiàn)路由器的管理界面（如圖1 所示）。將計(jì)算機(jī)的DNS 地址配置為61.128.128.68，能正常認(rèn)證上網(wǎng)，因此斷定網(wǎng)絡(luò)故障是由局域網(wǎng)內(nèi)接入無(wú)線(xiàn)路由器引發(fā)的偽造DHCP 服務(wù)器攻擊所致。

圖1 路由器管理界面

2 問(wèn)題原因分析

產(chǎn)生上述問(wèn)題的原因是：客戶(hù)機(jī)通過(guò)廣播方式發(fā)送DHCP請(qǐng)求尋找DHCP 服務(wù)器，DHCP 服務(wù)器接收到客戶(hù)機(jī)的IP 租約請(qǐng)求時(shí)，同時(shí)提供IP 租約給客戶(hù)機(jī)。客戶(hù)機(jī)收到IP 租約時(shí)，同時(shí)發(fā)送DHCPREQUEST 消息。當(dāng)DHCP 服務(wù)器收到消息后，同時(shí)完成DHCP 分配。由于局域網(wǎng)中同時(shí)存在多個(gè)DHCP 服務(wù)器，所有DHCP 服務(wù)器都收到計(jì)算機(jī)發(fā)送的DHCP 請(qǐng)求，互相爭(zhēng)奪DHCP 提供權(quán)，導(dǎo)致計(jì)算機(jī)獲取到偽裝DHCP 服務(wù)器的IP地址，從而無(wú)法上網(wǎng)。

3 解決方法

對(duì)于偽造DHCP 服務(wù)器，本文采用的解決方法步驟如下：

第一步：在故障電腦上命令提示符中輸入arp -a 命令，在出現(xiàn)的IP 地址與物理地址列表信息中，查找到IP 地址192.168.1.1 的物理地址為be-5f-f6-01-a8-12，此物理地址為路由器所對(duì)應(yīng)的硬件MAC 地址。如圖2 所示。

第二步：使用telnet 命令登錄AC，通過(guò)display wlan client |in be5f-f601-a812 命令查看該無(wú)線(xiàn)路由器接入的AP，命令執(zhí)行如下：

再次使用命令 display wlan ap all address | in e-4f-410-sh，可知該無(wú)線(xiàn)路由器通過(guò)名稱(chēng)為e-4f-410-shiwai 的AP 接入，該AP 的物理地址為1cab-34c5-c340。

圖2 ARP 緩存列表

第三步：使用telnet 命令登錄到E 棟的匯聚交換機(jī)，通過(guò)display mac-address 1cab-34c5-c340 命令查看該AP 的MAC 地址表項(xiàng)，命令執(zhí)行情況如下：

從命令執(zhí)行情況可知，該AP 的MAC 地址所對(duì)應(yīng)的交換機(jī)端口號(hào)為GE1/0/18。因?yàn)榻粨Q機(jī)在收到數(shù)據(jù)幀后，首先記錄其源MAC 地址和對(duì)應(yīng)接口到MAC 表中，然后會(huì)檢查自己的MAC表中是否有數(shù)據(jù)幀中目標(biāo)MAC 地址的信息，通過(guò)該原理可找到該AP 所對(duì)應(yīng)的交換機(jī)端口。

第四步：通過(guò)shutdown 命令關(guān)閉GE1/0/18 端口，將無(wú)線(xiàn)路由器接入的AP 與內(nèi)網(wǎng)通信阻斷。要想從根本上解決無(wú)線(xiàn)局域網(wǎng)內(nèi)偽造DHCP 服務(wù)器攻擊，則要在交換機(jī)中開(kāi)啟DHCP Snooping 功能。為防止非法DHCP 服務(wù)的問(wèn)題，DHCP Snooping把端口分為兩種類(lèi)型，TRUST 端口和UNTRUST 端口，設(shè)備只轉(zhuǎn)發(fā)TRUST 端口收到的DHCP 應(yīng)答報(bào)文，丟棄所有來(lái)自UNTRUST 端口的應(yīng)答報(bào)文，實(shí)現(xiàn)對(duì)偽造DHCP 服務(wù)器的屏蔽。配置命令如下：

匯聚交換機(jī)：

其它接入端口（上聯(lián)口除外）配置方法同上。

接入交換機(jī)：

其它接入端口（上聯(lián)口除外）配置方法同上。

4 結(jié)論

通過(guò)在交換機(jī)中配置DHCP Snooping 后，已解決了局域網(wǎng)內(nèi)偽造DHCP 服務(wù)器攻擊的問(wèn)題。偽造DHCP 服務(wù)器攻擊是網(wǎng)絡(luò)常見(jiàn)故障之一。如果交換機(jī)不支持DHCP Snooping 功能，還可通過(guò)其他的方法如端口隔離、接入層ACL 和接入認(rèn)證來(lái)進(jìn)行防范。