轉載http://tech.ddvip.com/2009-04/1240307726116182_4.html
一、採用DHCP服務的常見問題
架設DHCP服務器可以爲客戶端自動分配IP地址、掩碼、默認網關、DNS服務器等網絡參數,簡化了
網絡配置,提高了管理效率。但在DHCP服務的管理上存在一些問題,常見的有:
●DHCPServer的冒充
●DHCPServer的DOS***,如DHCP耗竭***
●某些用戶隨便指定IP地址,造成IP地址衝突
1、DHCPServer的冒充
由於DHCP服務器和客戶端之間沒有認證機制,所以如果在網絡上隨意添加一臺DHCP服務器,它就可以爲客戶端分配IP地址以及其他網絡參數。只要讓該DHCP服務器分配錯誤的IP地址和其他網絡參數,那就會對網絡造成非常大的危害。
2、DHCPServer的拒絕服務***
通常DHCP服務器通過檢查客戶端發送的DHCP請求報文中的CHADDR(也就是ClientMACaddress)字段來判斷客戶端的MAC地址。正常情況下該CHADDR字段和發送請求報文的客戶端真實的MAC地址是相同的。***者可以利用僞造MAC的方式發送DHCP請求,但這種***可以使用Cisco交換機的端口安全特性來防止。端口安全特性(PortSecurity)可以限制每個端口只使用唯一的MAC地址。但是如果***者不修改DHCP請求報文的源MAC地址,而是修改DHCP報文中的CHADDR字段來實施***,那端口安全就不起作用了。由於DHCP服務器認爲不同的CHADDR值表示請求來自不同的客戶端,所以***者可以通過大量發送僞造CHADDR的DHCP請求,導致DHCP服務器上的地址池被耗盡,從而無法爲其他正常用戶提供網絡地址,這是一種DHCP耗竭***。DHCP耗竭***可以是純粹的DOS***,也可以與僞造的DHCP服務器配合使用。當正常的DHCP服務器癱瘓時,***者就可以建立僞造的DHCP服務器來爲局域網中的客戶端提供地址,使它們將信息轉發給準備截取的惡意計算機。甚至即使DHCP請求報文的源MAC地址和CHADDR字段都是正確的,但由於DHCP請求報文是廣播報文,如果大量發送的話也會耗盡網絡帶寬,形成另一種拒絕服務***。
3、客戶端隨意指定IP地址
客戶端並非一定要使用DHCP服務,它可以通過靜態指定的方式來設置IP地址。如果隨便指定的話,將會大大提高網絡IP地址衝突的可能性。
二、DHCPSnooping技術介紹
DHCP監聽(DHCPSnooping)是一種DHCP安全特性。Cisco交換機支持在每個VLAN基礎上啓用DHCP監聽特性。通過這種特性,交換機能夠攔截第二層VLAN域內的所有DHCP報文。
DHCP監聽將交換機端口劃分爲兩類:
●非信任端口:通常爲連接終端設備的端口,如PC,網絡打印機等
●信任端口:連接合法DHCP服務器的端口或者連接匯聚交換機的上行端口
通過開啓DHCP監聽特性,交換機限制用戶端口(非信任端口)只能夠發送DHCP請求,丟棄來自用戶端口的所有其它DHCP報文,例如DHCPOffer報文等。而且,並非所有來自用戶端口的DHCP請求都被允許通過,交換機還會比較DHCP請求報文的(報文頭裏的)源MAC地址和(報文內容裏的)DHCP客戶機的硬件地址(即CHADDR字段),只有這兩者相同的請求報文才會被轉發,否則將被丟棄。這樣就防止了DHCP耗竭***。信任端口可以接收所有的DHCP報文。通過只將交換機連接到合法DHCP服務器的端口設置爲信任端口,其他端口設置爲非信任端口,就可以防止用戶僞造DHCP服務器來***網絡。DHCP監聽特性還可以對端口的DHCP報文進行限速。通過在每個非信任端口下進行限速,將可以阻止合法DHCP請求報文的廣播***。DHCP監聽還有一個非常重要的作用就是建立一張DHCP監聽綁定表(DHCPSnoopingBinding)。一旦一個連接在非信任端口的客戶端獲得一個合法的DHCPOffer,交換機就會自動在DHCP監聽綁定表裏添加一個綁定條目,內容包括了該非信任端口的客戶端IP地址、MAC地址、端口號、VLAN編號、租期等信息。如:
Switch#showipdhcpsnoopingbinding
MacAddressIpAddressLease(sec)TypeVLANInterface
----------------------------------------------------------------------------
00:0F:1F:C5:10:08192.168.10.131682463dhcp-snooping10FastEthernet0/1
這張DHCP監聽綁定表爲進一步部署IP源防護(IPSG)和動態ARP檢測(DAI)提供了依據。說明: