思科防止dhcp攻擊

原創 逍遥596607010 2020-05-11 21:06

什麼是DHCP

DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個局域網的網絡協議,前身是BOOTP協議,

使用UDP協議工作,常用的2個端口:67(DHCP server),68(DHCP client)。DHCP通常被用於局域網環境,主要作用是

集中的管理、分配IP地址,使client動態的獲得IP地址、Gateway地址、DNS服務器地址等信息,並能夠提升地址的使用

率。簡單來說,DHCP就是一個不需要賬號密碼登錄的、自動給內網機器分配IP地址等信息的協議。

 

 

 

DHCP協議中的報文:

DHCP DISCOVER 客戶端廣播DHCP Discover消息,局域網內所有主機都能接受到該報文。

DHCP OFFER 服務器接收到DHCP DISCOVER之後做出的響應,它包括了給予客戶端的IP、客戶端的MAC地址、租約過期時間、服務器的識別符以及其他信息

DHCP REQUEST 客戶端對於服務器發出的DHCP OFFER所做出的響應,發送請求報文。

DHCP ACK 服務器在接收到客戶端發來的DHCP REQUEST之後發出的成功確認的報文。在建立連接的時候,客戶端在接收到這個報文之後纔會確認分配給它的IP和其他信息可以被允許使用。

 

 

 

DHCP的工作流程:

 

 

 

 

DHCP報文數據包:

 

 

 

什麼是DHCP  Snooping ?

DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息,

這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、

租用期、VLAN-ID 接口等信息。Cisco交換機支持在每個VLAN基礎上啓用DHCP監聽特性。通過這種特性,交換

機能夠攔截第二層VLAN域內的所有DHCP報文。

 

知識點: DHCP Snooping綁定表爲後續部署IP源防護(IPSG)和動態ARP檢測(DAI)提供重要支持。

 

 

DHCP  Snooping作用:

1、  防止私自搭建的DHCP Server分配IP地址(主要功能)。

2、  防止惡意搭建的DHCP Server的DOS攻擊,導致信任DHCP Server(公司DHCP服務器)的IP地址資源耗竭(主要功能)。

3、  防止用戶手動配置固定IP地址,造成與信任DHCP  Server(公司DHCP服務器)分配的IP地址衝突。(需要配合IPSG功能共同實現,後續會講解)

 

 

DHCP監聽將交換機端口劃分爲兩類:

1、  信任端口:連接信任的DHCP服務器或者匯聚交換機的上行端口或核心交換機的下行端口。

2、  非信任端口:通常爲連接終端設備的端口,例如電腦、網絡打印機、筆記本,HUB(傻瓜交換機端口不可控)等。

 

設計思路:

1、3560劃分3個VLAN(vlan10  vlan20  vlan50)並分配IP地址,gi0/13端口配置爲信任端口連接信任DHCP服務器並劃分到vlan 50,gi0/24端口設置爲trunk

2、2960劃分3個VLAN(vlan10  vlan20  vlan50)並分配端口,gi1/0/24端口設置爲trunk與3560 gi0/24端口相連

3、私搭建的DHCP服務器可以接在3560交換機或2960交換機非信任端口進行測試

4、PC01連接在2960 vlan10 端口gi1/0/1,PC02連接在2960 vlan20 端口gi1/0/8

VLAN情況:

vlan 10    192.168.10.1/24(3650)   分配端口gi1/0/1-5(2960)

vlan 20    192.168.20.1/24(3650)   分配端口gi1/0/6-10(2960)

vlan 50    192.168.50.1/24(3650)   分配端口gi1/0/11-15(2960)

信任DHCP服務器IP地址  192.168.50.254/24(3650)   分配端口gi0/13(3650)

 

 

 

網絡拓撲圖:

提示:思科模擬器Cisco Packet Tracer Student實現DHCP Snooping功能會有異常,本教程是使用真實思科交換機實驗。

 

 

 

 

 

3650配置信息:

 

##配置vlan

3560(config)#vlan 10

3560(config-vlan)#name VLAN10

3560(config-vlan)#exit

3560(config)#vlan 20

3560(config-vlan)#name VLAN10

3560(config-vlan)#exit

3560(config)#vlan 50

3560(config-vlan)#name VLAN10

3560(config-vlan)#exit

 

##配置vlan的IP地址並設定DHCP服務器中繼代理

3560(config)#interface vlan 10

3560(config-if)#ip address 192.168.10.1 255.255.255.0

3560(config-if)#ip helper-address 192.168.50.254

3560(config-if)#exit

3560(config)#interface vlan 20

3560(config-if)#ip address 192.168.20.1 255.255.255.0

3560(config-if)#ip helper-address 192.168.50.254

3560(config-if)#exit

3560(config)#interface vlan 50

3560(config-if)#ip address 192.168.50.1 255.255.255.0

3560(config-if)#ip helper-address 192.168.50.254

3560(config-if)#exit

 

##劃分gi0/13端口給vlan50用於連接DHCP服務器

3560(config)#interface gigabitEthernet 0/13

3560(config-if)#switchport access vlan 50

3560(config-if)#switchport mode access

3560(config-if)#no shutdown

 

##設置gi0/24端口爲trunk用於連接下聯2960交換機

3560(config)#interface gigabitEthernet 0/24

3560(config-if)#switchport trunk encapsulation dot1q

3560(config-if)#switchport mode trunk

3560(config-if)#no shutdown

 

##開啓三層路由功能

3560(config)#ip routing

 

##開啓DHCP Snooping功能

3560(config)#ip dhcp snooping

##設置DHCP Snooping功能將作用於哪些VLAN

3560(config)#ip dhcp snooping vlan 10,20,50

##配置交換機能從非信任端口接收帶option 82的DHCP報文

3560(config)#ip dhcp snooping information option allow-untrusted

##將DHCP監聽綁定表保存在flash中,文件名爲dhcp_snooping.db

3560(config)#ip dhcp snooping database flash:dhcp_snooping.db

##指DHCP監聽綁定表發生更新後,等待30秒,再寫入文件,默認爲300

3560(config)#ip dhcp snooping database write-delay 30

##指DHCP監聽綁定表嘗試寫入操作失敗後,重新嘗試寫入操作,直到60秒後停止嘗試,默認爲300

3560(config)#ip dhcp snooping database timeout 60

##使由於DHCP報文限速原因而被禁用的端口能自動從err-disable狀態恢復

3560(config)#errdisable recovery cause dhcp-rate-limit

##設置自動恢復時間;端口被置爲err-disable狀態後,經過30秒時間自動恢復

3560(config)#errdisable recovery interval 30

 

##設置gi0/13端口和gi0/24爲信任端口,其它端口自動默認爲非信任端口

3560(config)#interface gigabitEthernet 0/13

3560(config-if)#ip dhcp snooping trust

3560(config-if)#exit

3560(config)#interface gigabitEthernet 0/24

3560(config-if)#ip dhcp snooping trust

3560(config-if)#exit

 

##顯示與維護

#查看交換機配置情況

3560#show running-config

#查看交換機端口速率、信任端口、非信任端口等信息

3560#show ip dhcp snooping

#查看DHCP snooping綁定表

3560#show ip dhcp snooping binding 

 

 

 

2960配置信息:

 

##創建vlan

2960#vlan database

2960(vlan)#vlan 10 name VLAN10

2960(vlan)#vlan 20 name VLAN20

2960(vlan)#vlan 50 name VLAN50

2960(vlan)#exit

 

##劃分端口給相應vlan

2960#configure terminal

2960(config)#interface range gigabitEthernet 1/0/1-5

2960(config-if-range)#switchport access vlan 10

2960(config-if-range)#switchport mode access

2960(config-if-range)#no shutdown

2960(config-if-range)#exit

2960#configure terminal

2960(config)#interface range gigabitEthernet 1/0/6-10

2960(config-if-range)#switchport access vlan 20

2960(config-if-range)#switchport mode access

2960(config-if-range)#no shutdown

2960(config-if-range)#exit

2960#configure terminal

2960(config)#interface range gigabitEthernet 1/0/11-15

2960(config-if-range)#switchport access vlan 50

2960(config-if-range)#switchport mode access

2960(config-if-range)#no shutdown

2960(config-if-range)#exit

 

##開啓DHCP Snooping功能

2960(config)#ip dhcp snooping

2960(config)#ip dhcp snooping vlan 10,20,50

2960(config)#ip dhcp snooping information option allow-untrusted

2960(config)#ip dhcp snooping database flash:dhcp_snooping.db

2960(config)#ip dhcp snooping database write-delay 30

2960(config)#ip dhcp snooping database timeout 60

2960(config)#errdisable recovery cause dhcp-rate-limit

2960(config)#errdisable recovery interval 30

 

##設置gi0/24爲信任端口並設置爲trunk與3650交換機連接,其它端口自動默認爲非信任端口

2960(config)#interface gigabitEthernet 1/0/24

2960(config-if)#switchport mode trunk

2960(config-if)#ip dhcp snooping trust

 

##設置其它所屬vlan的非信任端口DHCP報文速率爲每秒100個包(端口默認是每秒15個包)

2960(config)#interface range gigabitEthernet 1/0/1-15

2960(config-if-range)#ip dhcp snooping limit rate 100

##設置爲直接轉發

2960(config-if-range)#spanning-tree portfast

 

##顯示與維護

3560#show running-config 

3560#show ip dhcp snooping

3560#show ip dhcp snooping binding

 

 

 

 

 

 

什麼是IPSG

IP 源防護(IP Source Guard,簡稱 IPSG)是一種基於 IP/MAC 的端口流量過濾技術,它可以防止局域網內的 IP 地址欺騙攻擊。

IPSG 能夠確保第 2 層網絡中終端設備的 IP 地址不會被劫持,而且還能確保非授權設備不能通過自己指定 IP 地址的方式來訪問

網絡或攻擊網絡導致網絡崩潰及癱瘓。

 

 

IPSG作用:

1、防止用戶手動配置固定IP地址,造成與信任DHCP  Server(公司DHCP服務器)分配的IP地址衝突。(需要配合DHCP Snooping功能共同實現)

2、實現靜態綁定IP+vlan+端口,同時配合HDCP Snooping功能一起使用可實現動態綁定。

 

標註:IPSG配置參照以上DHCP Snooping配置不變,只要增加以下配置即可:

 

 

2960交換機增加以下配置信息:

 

##信任端口不必配置

2960(config)#interface range gigabitEthernet 1/0/1-15

2960(config-if-range)#ip verify source port-security

 

#交換機允許手動設置IP地址綁定命令,一般綁定了就不能自動獲取,除非DHCP服務器上存在你的IP與MAC綁定信息,否則無法自動獲取IP地址

2960(config)#ip source binding D8:CB:8A:93:24:E5 vlan 20 192.168.20.120 interface gigabitEthernet 1/0/10

 

##顯示與維護

2960#show ip source binding

2960#show ip verify source

 

轉載於:https://www.cnblogs.com/zoulongbin/p/8944196.html

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

centos虛擬機安裝完之後無法使用CRT遠程登錄 報錯The remote system refused the connection ---網絡配置模式

好不容易初始化完、打算使用CRT遠程登錄方便些,卻發現 The remote system refused the connection 被拒絕了 前提:可以ping路由器、外網,發現不可以ping物理機ip。可以看下自己安裝的時候選擇的

我说什么你都别信 2020-07-07 10:35:32

ubuntu13.04 有線網卡驅動安裝 無法上網 網絡配置

在使用ubuntu13.04時,剛開始有線連接能上網,無線也能連接上,但是無線在使用過程中發現有時候明明是鏈接上的, 但是打開網頁的速度特別慢,所以就把網卡驅動卸載了,卸載之後重新安裝驅動後,無線上網是沒問題了,但有線問題 又來了,插上網

lht0211 2020-07-06 12:25:36

CentOS7安裝和配置網絡

一、下載虛擬機 https://pan.baidu.com/s/1Q9MVsEzVVoeOb99lQ1tsVQ 密鑰爲:UY758-0RXEQ-M81WP-8ZM7Z-Y3HDA 安裝過程請關注: 二、下載Linux操作系統,以

小白的Python梦 2020-07-06 10:03:45

Linux安裝與配置samb服務器的過程以及遇到的問題

之前是在虛擬機中,給linux配置了samb,沒有遇到什麼問題。今天突然想到把我那個在淘寶300塊錢買的臺式機和筆記本雍一根網線連起來,然後給臺式機配一個samb服務器和筆記本進行通信。 首先是找安裝包的問題,由於我的臺式機沒有聯網,所以

MostHandsomeWang 2020-07-04 12:16:03

【linux】VirtualBox下ubuntu系統靜態橋接網絡配置的各種坑

目錄 實現靜態網絡配置方法: 0.網絡配置目標 1. VirtualBox的四種網絡連接方式 2.橋接模式的各種坑 2.1 橋接網絡無法獲取ipv4地址 2.2 橋接網絡可以獲取ipv4地址,但是無法ping宿主機 2.3 橋接網絡可以p

蓝贝壳壳 2020-07-04 04:00:17

virtualbox+oracle linux 7.7 筆記本無線網絡配置

物理機爲筆記本電腦、無線網卡、win7系統。 安裝了vbox和oracle linux 7.7,折騰了幾天,基本弄明白瞭如何上網。 0.vbox網絡配置,橋接模式。 1、輸入命令:ip addr,查詢網卡名稱、mac地址。 紅框內爲網卡

tossgoon 2020-07-03 17:39:08

tomcat&weblogic http轉https配置

tomcat 配置 一,單向認證 1.生成證書 使用 JDK自帶的keytool工具來生成證書,可以用任意一臺安裝jdk的主機來生成,不需要去機構申請。 keytool -genkey -alias tomcat -keyalg

liberalliushahe 2020-06-30 20:45:17

交換機/路由器常用操作簡介

創建vlan 將端口劃入vlan 查看vlan 刪除vlan 配置vlan的網關、子網掩碼、和DHCP中繼 使用ssh連接交換機管理網口後: 1.創建vlan: #進入配置狀態 <S100> system-view

Frank_Abagnale 2020-06-30 20:06:03

centos7 虛擬機最小化安裝後網絡配置

最小化安裝了centos7主機後,配置網絡 1、進入網絡配置路徑配置網卡信息:vi /etc/sysconfig/network-scripts/ifcfg-enXX 配置dhcp模式,修改以下兩行參數: BOOTPROTO=dhcp

scutyangfan 2020-06-28 09:40:20

centos7 虛擬機配置zookeeper 單機版本環境 並用工具連接

參考: https://download.csdn.net/download/qq_34629467/12026468 資源下載: https://download.csdn.net/download/qq_34629467/120264

每一天都是余生中的最后一天 2020-06-27 05:15:14

ubuntu命令行配置wifi,不使用NetworkManager和netplan

ubuntu 18.04 命令行配置wifi,不使用NetworkManager和netplan配置Ethernet配置WIFI 配置Ethernet 還是老辦法,直接修改/etc/network/interfaces auto

飞花丝雨 2020-06-25 23:34:45

【Linux】CentOS系統NAT網絡連接修改配置文件設置靜態IP地址

1、查看CentOS的網關: 單擊虛擬機的“編輯”選項卡,選擇“虛擬網絡編輯器”,彈出下面的界面,將光條選中“VMnet8”,然後點擊“NET設置”: 2、設置本機上的VMnet8的網關(保證其與虛擬機一致): 3、編輯文件“

景谦Nice 2020-06-24 22:27:20

樹莓派(一) 樹莓派中的網絡配置問題

1 引言 積跬步以至千里,積怠情以至深淵,我要做一個踏實的ABCer。 本文將介紹樹莓派的相關網絡配置。 2. 樹莓派設置靜態IP 配置信息如下: # 打開interfaces進行配置 sudo vim /etc/network/

梵高的向日葵丶 2020-06-24 17:48:42

課時18 Linux網絡基礎配置

Linux課程學習筆記來源於網易雲課堂:Linux 入門基礎 以root用戶登錄 1.以太網連接 在linux中,以太網接口被命名爲:eth0、eth1等,0、1代表網卡編號;通過lspci命令可以查看網卡硬件信息(如果是usb網卡

云水禅心_心一 2020-06-20 03:47:54

內網穿透和遠程開機

今天講一個比較使用的技巧:內網穿透和遠程開機應用場景:回家之後想訪問公司內網的服務器或者其他資料;或者不在學校時想通過學校的內網下載論文、遠程選課等等;或者在寢室想要遠程控制實驗室的電腦,遠程開機等等。這裏就分爲幾種情況了:1.內網出口由

sinadrew 2020-06-16 08:43:18