DHCP安全问题及其防范措施摘要本文主要介绍计算机网络当中一个比较常见的安全问题—DHCP的安全问题。
DHCP称作动态主机分配协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。
DHCP用一台或一组DHCP服务器来管理网络参数的分配,这种方案具有容错性。
即使在一个仅拥有少量机器的网络中,DHCP仍然是有用的,因为一台机器可以几乎不造成任何影响地被增加到本地网络中。
甚至对于那些很少改变地址的服务器来说,DHCP仍然被建议用来设置它们的地址。
如果服务器需要被重新分配地址(RFC2071)的时候,就可以在尽可能少的地方去做这些改动。
对于一些设备,如路由器和防火墙,则不应使用DHCP。
把TFTP或SSH服务器放在同一台运行DHCP的机器上也是有用的,目的是为了集中管理。
DHCP也可用于直接为服务器和桌面计算机分配地址,并且通过一个PPP代理,也可为拨号及宽带主机,以及住宅NAT网关和路由器分配地址。
DHCP 一般不适用于使用在无边际路由器和DNS服务器上。
DHCP安全问题在网络安全方面是一个不可忽略的问题,这种问题内部网络及网络服务提供商在分配IP地址造成的IP冲突、伪造DHCP服务器等攻击。
本文介绍了如何防范和解决此类问题的方法和步骤。
关键字:计算机、DHCP、安全问题、攻击DHCP safety and safeguardsABSTRACTThis paper mainly introduces the computer network of a common security problems and DHCP safety problems.DHCP dynamic distribution agreement called the mainframe (Dynamic host configuration protocol and DHCP )is a LAN network protocols, the use of UDP agreement, there are two major purpose :to the internal network or network service provider the IP address assigned to the user to the internal network administrator in all computer on the central administration.DHCP with one or a set of DHCP server to manage the distribution network parameters, the scheme has a fault tolerance. Even in a small amount of the machine has a network, and DHCP is still useful, for a machine can hardly have any influence, have been added to the local network. Even for those who rarely change the address of the server and DHCP still being proposed to set the address. If the server needs to be reassigned address (rfc2071 ), it can be as few as possible to do these changes. For some equipment, such as the router and should not be used DHCP. The TFTP server or SSH in with a DHCP machine is also useful in order to administer.DHCP may also directly to the server and desktop computers, and the assignment of addresses by a PPP agent or a dialing, and broadband host, and the house assignment of addresses NAT gateway and routers generally do not apply. DHCP use in the DNS server marginal routers.DHCP security issues in the network security is not to neglect the issue of the internal network and the network service provider in the allocation of IP address of the conflict and DHCP server IP, forgery attack. This article explains how to prevent and resolve the problem of methods and procedures.Keyword: Computer、DHCP、Safety、Attack目录摘要 (I)ABSTRACT (II)第一章绪论 (1)1.1概述 (1)第二章应用技术 (2)2.1DHCP应用技术 (2)2.2技术优点 (2)2.3应用场合 (2)2.3.1 DHCP服务欺骗攻击 (3)2.3.2 ARP“中间人”攻击 (3)2.3.3 IP/MAC欺骗攻击 (4)2.3.4 DHCP报文泛洪攻击 (4)2.4应用限制 (5)第三章特性介绍 (5)3.1相关术语 (5)3.2相关协议 (6)3.3设备处理流程 (6)3.3.1 DHCP Snooping 表项的建立与老化 (6)3.3.2 DHCP Snooping 信任端口功能 (7)3.3.3 ARP入侵检测功能 (8)3.3.4 IP 过滤功能 (9)3.3.5 DHCP 报文限速功能 (9)3.4DHCP S NOOPING与DHCP R ELAY安全机制比较 (10)第四章典型组网案例 (11)结束语 (12)参考文献 ................................. 错误!未定义书签。
第一章绪论1.1概述DHCP 是Dynamic Host Configuration Protocol(动态主机配置协议)缩写,它的前身是BOOTP。
BOOTP 原本是用于无磁盘主机连接的网络上面的:网络主机使用BOOT ROM 而不是磁盘起动并连接上网络,BOOTP 则可以自动地为那些主机设定TCP/IP 环境。
但BOOTP 有一个缺点:您在设定前须事先获得客户端的硬件地址,而且,与IP 的对应是静态的。
换而言之,BOOTP 非常缺乏"动态性" ,若在有限的IP 资源环境中,BOOTP 的一对一对应会造成非常可观的浪费。
DHCP 可以说是BOOTP 的增强版本,它分为两个部份:一个是服务器端,而另一个是客户端。
所有的IP 网络设定数据都由DHCP 服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。
比较起BOOTP ,DHCP 透过"租约" 的概念,有效且动态的分配客户端的TCP/IP 设定,而且,作为兼容考虑,DHCP 也完全照顾了BOOTP Client 的需求。
DHCP 的分配形式首先,必须至少有一台DHCP 工作在网络上面,它会监听网络的DHCP 请求,并与客户端磋商TCP/IP 的设定环境。
第二章应用技术2.1 DHCP应用技术DHCP协议是在UDP和IP协议的基础上运行,有很多不安全因素。
而且DHCP的运作机制中,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。
例如,恶意用户冒充DHCP服务器,发放错误的IP地址、DNS服务器信息或默认网关信息,来实现流量的截取等等。
交换机可以通过运行在网络层的DHCP中继的安全功能,或运行在数据链路层的DHCP Snooping功能来监听DHCP报文,记录服务器分配给客户端的IP地址等配置信息,并通过与交换机上其它功能模块的配合,提高整体网络的安全性。
2.2 技术优点DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
设备通过监听DHCP报文,过滤不可信任的DHCP信息;建立和维护DHCP Snooping 表项,记录用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系,一般可以与其它功能模块配合使用,提高网络的安全性。
DHCP中继运行在网络层,其安全功能与DHCP Snooping类似,同样是记录用户的MAC地址与IP地址的信息,一般与ARP功能模块配合使用,提高网络的安全性。
2.3 应用场合DHCP中继和DHCP Snooping的安全特性主要应用于接入层交换机上,实现常见二层网络攻击的防范。
2.3.1 DHCP服务欺骗攻击在DHCP工作过程中,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器,不仅会给网络造成混乱,也对网络安全造成很大威胁。
这种网络中出现非法的DHCP服务器,通常分为两种情况:1、用户不小心配置的DHCP服务器,由此引起的网络混乱非常常见。
2、黑客将正常的DHCP服务器的IP地址耗尽,然后冒充合法的DHCP服务器,为客户端分配IP地址等配置参数。
例如黑客利用冒充的DHCP服务器,为用户分配一个经过修改的DNS服务器地址,在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站,骗取用户的账户和密码,这种攻击的危害是很大。
为了防止DHCP服务欺骗攻击,交换机提供了"DHCP Snooping信任端口"特性,对DHCP服务器信息来源进行控制。
只允许处理信任端口接收的DHCP 响应报文,而非信任端口接收到的DHCP响应报文被交换机丢弃,防止DHCP 客户端从网络中不可信任的DHCP服务器获取IP地址。