DHCP***簡介
接入層是***頻發的地帶,因爲這是一個魚龍混雜的地方。一般園區網的主機起機的時候會發送一個DHCP請求,以廣播方式發送。DHCP server接到請求會響應主機。一般windows操作系統請求的內容比較少,比如:ip地址,掩碼,網關,租用時間。一些無盤工作站還會請求多一些的內容,像tftp server的地址。因爲無盤工作站沒有硬盤,只有網卡,它把那些請求的功能集成在網卡里了。
其實,DHCP可以分配100多項內容(76個標準的+一些擴展),是根據請求內容分配的。
現在,假如有一個rogue DHCP attacker連到接入層,它會冒充DHCP server給發出請求的client迴應(因爲請求是廣播發出的,attacker也收得到)。一般情況下,這個attacker會把響應裏的網關指向自己。這樣,客戶上網的流量都會經過attacker。也就是“中間人”***。作爲一般用戶來說,他不會發現任何的異常,windows系統也不會顯示分配到的地址(除非命令行下ipconfig)。
作爲attacker會使用一些嗅探工具去嗅探你上網發送的數據包。在網絡中使用的一些協議諸如pop3 http telnet ftp等使用的都是明文認證,所以密碼很容易被竊取。很多人喜歡把所有的密碼設爲同樣的。所以作爲***者來說,只要早晨起牀來看看截獲了哪些密碼就好。
嗅探軟件有很多種,一個菜鳥5分鐘就能會用,所以這種***是很危險的。
防禦的方法
一般使用DHCP偵聽防禦DHCP***。
將接入層交換機上與客戶端相連的接口設爲不信任端口,把與交換機相連的端口設爲信任端口。當untrusted port收到DHCP應答的時候,交換機會丟棄這個應答數據包,注意,只是應答數據包。所以當一個client發起DHCP請求的時候,***者還是會響應這個請求,但這個響應傳到交換機的時候會被丟棄。這樣就有效的防範了DHCP***。
命令如下:
Ip dhcp snooping
Ip dhcp snooping information option
Ip dhcp snooping trust (接口下)
Ip dhcp snooping limit rate [rate]
Ip dhcp snooping vlan number
驗證:
Show ip dhcp snooping
第四條命令可以限制報文速率,有效防止dos***。
Ip源保護
在DHCP偵聽中還有另外一個很重要的方面。當client發送一個DHCP請求的時候,到了交換機的端口,交換機會截獲這個報文,加上82 option這個選項,用於記錄client mac和port mac。當DHCP server發回響應報文的時候截獲應答,以獲得client的ip地址和mac以及自己端口的映射。當client發包的時候,要這個映射匹配才發包。
這個叫做用戶源保護。有些用戶喜歡手動修改自己的ip地址或mac地址。這有可能造成衝突,使其他的用戶無法正常上網,或者避免一些控制以擁有一些其他的權限。在開啓了這個功能後可以防止這一點。
Ip源保護以DHCP snooping作爲ip源保護並不能阻止像arp欺騙這樣的***,因爲arp欺騙的數據包源那部分並沒有錯,只是目的那部分不對。
命令配置:
ip dhcp snooping
ip dhcp snooping vlan number
ip verify source vlan dhcp-snooping port-security