DHCP欺騙攻擊就是僞造真正的DHCP服務器爲客戶端主機分配一個錯誤的IP地址
接下來通過實驗環境詳細分析是如何僞造真正的DHCP服務器的
實驗拓撲如下:
說明:
R1爲真正的額DHCP服務器,R2爲欺騙攻擊的假的DHCP服務器,R4爲客戶端主機,R3後面用到在說
1.首先進入交換機上,更改連接四個路由器的接口爲接入模式並開啓端口加速
2.DHCP server創建地址池
3.主機開啓接口的DHCP獲取功能,可見此時客戶端主機拿到了池塘分配的IP
這時,有一個假的DHCP server進入網絡,想要欺騙此網絡的客戶端主機,即創建一個欺騙的地址池
接下來,來到客戶端主機
客戶端主機將接口關閉後開啓就有可能拿到假的IP地址
- 可見,此時客戶端主機拿到了一個錯誤的IP地址,當然這個地址是不能上網的
解決:
1.中繼設備(二/三層交換機)上將所有的接口設置爲非信任接口
2.將連接真正的DHCP的服務器的接口設爲信任接口
3.真正的DHCP服務器開啓針對中繼信息信任
4.中繼設備上查看dhcp的窺探綁定,可見是真實的DHCP地址池
假的DHCP服務器將不能發送offer與ack,因爲它連接的中繼設備接口是非信任的,只能發送discover 與request的DHCP消息數據包
新問題:
如果此時有一個主機向中繼設備發送大量的discover的DHCP消息數據包,那麼就會導致中繼設備的癱瘓,R3就是這樣一種搞破壞的存在
解決:
中繼設備上限制對所有非信任接口的發送discover的頻率
這裏爲了實驗效果明顯,設置R3的發送頻率爲1
R3上進行DHCP請求,則會導致交換機error-disable
下面是對DHCP欺騙攻擊的思維導圖形式