DHCP協議安全
1.DHCP概述:
IP地址是因特網採用的編址方案,加入因特網首要條件就是獲取一個合法的IP地址。
手動配置IP相關參數非常的繁瑣。
應用層DHCP協議解決了這一難題,但同時也帶了安全問題。
2.DHCP作用
動態主機配置協議DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)
客戶機/服務器協議。
功能:在TCP/IP網絡中對客戶機動態分配和管理IP地址等配置信息,以簡化網絡配置,方便用戶使用及管理員的管理。
3.DHCP工作過程
- DNCP客戶端首次初始化的時候,會向網絡發送DHCPDISCOVER (廣播)報文,請求獲得IP. 子網掩碼,默認網關. DNS等信息。
在報文中同時包含了客戶端的MAC地址信息 - 網絡中只有DHCP服務器會識別並響應該DHCPDISCOVER請求。當DHCP服務器接收到該請求後,會從自己的地址池中選擇一個ip地址分配給該客戶機,並把其他TCP/IP配置一起通過DHCPOFFER (單播)響應報文發送過去。
因爲是針對單獨的設備,這裏是發起請求的客戶機,所以是單播。 - 客戶端接收到了單播給他的一堆信息以後,他有以廣播形式發送DHCPREQUEST (廣播)消息,說明自己需要得到服務。
爲什麼以廣播方式發送DHCPREQUEST消息
如果一個網段上面存在多個DHCP服務器,客戶端可能會受到多個OFFER消息,他只會選擇最先收到的那個服務器。
作用:(1)通知那個服務器:我已經收到你所提供的IP地址,我需要你的服務。(2)通知網絡上其他DHCP服務器:我拒絕你們提供的IP信息。 - DHCP接收到DHCPREQUEST以後,他會將所提供的IP地址和其他的配置交給服務器,並且向客戶端以單播形式發送一個DHCPACK消息,確認DHCP過程已經完成。
- 經過以上步驟,這個IP地址就會租給客戶端一段時間,租用期間,客戶端每次登陸時,都會向服務器發送這個IP地址的序定請求DHCPREQUEST。如果過期不續租,這個IP地址就會退回到DHCP服務器的地址池中,等待下一次重新分配。
4.DHCP安全隱患
- 不提供對客戶端的認證。
即便是沒有權限使用網絡的非法用戶,也能很容易的從DHCP服務器獲取一個IP地址以及網關、DNS等信息,成爲一個合法使用者。 - 不提供對DHCP服務器的認證。
客戶端從最先獲得OFFER的DHCP服務器處獲得IP地址等信息,不管是什麼原因,誤操作介入了一臺DHCP服務器,該服務器就能夠爲DHCP客戶端提供IP地址等信息的服務。 - 不提供服務器認證的危害
(1)客戶端無法實現正常的網絡連接:(獲取的IP地址、DNS、網關啥的不對)
(2)IP地址衝突。(如果與網絡中重要服務器的IP地址衝突時,整個網絡將處於混亂狀態。)
5.非法DHCP服務器的工作原理
一臺非法DHCP服務器接入到了網絡中,並“冒充”爲一這個網段中的合法DHCP服務器。
由於非法DHCP服務器與DHCP客戶端處於同一個網段,而正確的DHCP服務器位於其他網段。
所以,一般情況下非法DHCP服務器優先發送DHCPOFFER響應報文給客戶端,而後到的正確的DHCP服務器的OFFER響應,客戶端並不採用。
非法DHCP+攻擊程序容易拿到用戶信息,比如用戶操作系統的賬號密碼。
結果,DHCP客 戶端將從非法DHCP服務器處獲得不正確的IP地址、網關、DNS等配置參數。
6.非法DHCP服務的防範
- 在DHCP服務器上進行IP與MAC地址的綁定
在通過DHCP服務器進行客戶端IP地址等參數分配的網絡中,對於一些重要部門的用戶,可以通過在DHCP服務器上綁定IP與MAC地址,實現對指定計算機IP地址的安全分配。
步驟:以Windows Server系列操作系統集成的DHCP服務爲例
(1)確保DHCP服務器的運行正常。
(2)選擇“開始一>程序一>管理工具一>DHCP",打開“DHCP"窗口.
(3)選取“作用域一保留”,單擊鼠標右鍵,在出現的快捷菜單中選擇“新建保留,在“保留名稱"後面輸入客戶端用戶的名稱,在“IP地址“後輸入該作用域中一個末分配的IP地址,在“MAC地址”後面輸入指定客戶端計算機的MAC地址,在“支持的類型”下面選擇“兩者”或“僅DHCP"
2. 使用DHCP Snooping信任端口
DHCP Snooping能夠過濾來自網絡中非法DHCP服務器或其他設備的非信任DHCP響應報文。
一旦將交換機的某一個端口設置爲指向正確DHCP服務器的接入端口,那麼交換機會自動丟棄從其他端口上接收到的DHCP響應報文
因爲非信任端口,所以非法的DHCP服務器雖然接收到了信息,也發出了響應報文,但是在不信任端口處被阻斷了,內網設備就不會得到不信任DHCP發送的響應報文了。
就是不管你響應有多快,但是都半路夭折了。
當然,對不同的交換機等設備、不同的DHCP服務器軟件需要採取不同的安全技術和策略。
這個可以參閱相關設備和軟件的技術文檔。
總結:
