网络安全技术第五章——第三节DHCP协议安全(DHCP协议概述、非法DHCP服务器的工作原理与防范手段)

原創 Z---A 2020-06-07 03:37

DHCP协议安全

DHCP协议安全

1.DHCP概述:

IP地址是因特网采用的编址方案,加入因特网首要条件就是获取一个合法的IP地址。
手动配置IP相关参数非常的繁琐。
应用层DHCP协议解决了这一难题,但同时也带了安全问题。

2.DHCP作用

动态主机配置协议DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)
客户机/服务器协议。
功能:在TCP/IP网络中对客户机动态分配和管理IP地址等配置信息,以简化网络配置,方便用户使用及管理员的管理。

3.DHCP工作过程

  1. DNCP客户端首次初始化的时候,会向网络发送DHCPDISCOVER (广播)报文,请求获得IP. 子网掩码,默认网关. DNS等信息。
    在报文中同时包含了客户端的MAC地址信息
  2. 网络中只有DHCP服务器会识别并响应该DHCPDISCOVER请求。当DHCP服务器接收到该请求后,会从自己的地址池中选择一个ip地址分配给该客户机,并把其他TCP/IP配置一起通过DHCPOFFER (单播)响应报文发送过去。
    因为是针对单独的设备,这里是发起请求的客户机,所以是单播。
  3. 客户端接收到了单播给他的一堆信息以后,他有以广播形式发送DHCPREQUEST (广播)消息,说明自己需要得到服务。
    为什么以广播方式发送DHCPREQUEST消息
    如果一个网段上面存在多个DHCP服务器,客户端可能会受到多个OFFER消息,他只会选择最先收到的那个服务器。
    作用:(1)通知那个服务器:我已经收到你所提供的IP地址,我需要你的服务。(2)通知网络上其他DHCP服务器:我拒绝你们提供的IP信息。
  4. DHCP接收到DHCPREQUEST以后,他会将所提供的IP地址和其他的配置交给服务器,并且向客户端以单播形式发送一个DHCPACK消息,确认DHCP过程已经完成。
  5. 经过以上步骤,这个IP地址就会租给客户端一段时间,租用期间,客户端每次登陆时,都会向服务器发送这个IP地址的序定请求DHCPREQUEST。如果过期不续租,这个IP地址就会退回到DHCP服务器的地址池中,等待下一次重新分配。

在这里插入图片描述

4.DHCP安全隐患

  1. 不提供对客户端的认证。
    即便是没有权限使用网络的非法用户,也能很容易的从DHCP服务器获取一个IP地址以及网关、DNS等信息,成为一个合法使用者。
  2. 不提供对DHCP服务器的认证。
    客户端从最先获得OFFER的DHCP服务器处获得IP地址等信息,不管是什么原因,误操作介入了一台DHCP服务器,该服务器就能够为DHCP客户端提供IP地址等信息的服务。
  3. 不提供服务器认证的危害
    (1)客户端无法实现正常的网络连接:(获取的IP地址、DNS、网关啥的不对)
    (2)IP地址冲突。(如果与网络中重要服务器的IP地址冲突时,整个网络将处于混乱状态。)

5.非法DHCP服务器的工作原理

一台非法DHCP服务器接入到了网络中,并“冒充”为一这个网段中的合法DHCP服务器。
由于非法DHCP服务器与DHCP客户端处于同一个网段,而正确的DHCP服务器位于其他网段。
所以,一般情况下非法DHCP服务器优先发送DHCPOFFER响应报文给客户端,而后到的正确的DHCP服务器的OFFER响应,客户端并不采用。
非法DHCP+攻击程序容易拿到用户信息,比如用户操作系统的账号密码。
结果,DHCP客 户端将从非法DHCP服务器处获得不正确的IP地址、网关、DNS等配置参数。

在这里插入图片描述

6.非法DHCP服务的防范

  1. 在DHCP服务器上进行IP与MAC地址的绑定
    在通过DHCP服务器进行客户端IP地址等参数分配的网络中,对于一些重要部门的用户,可以通过在DHCP服务器上绑定IP与MAC地址,实现对指定计算机IP地址的安全分配。
    步骤:以Windows Server系列操作系统集成的DHCP服务为例
    (1)确保DHCP服务器的运行正常。
    (2)选择“开始一>程序一>管理工具一>DHCP",打开“DHCP"窗口.
    (3)选取“作用域一保留”,单击鼠标右键,在出现的快捷菜单中选择“新建保留,在“保留名称"后面输入客户端用户的名称,在“IP地址“后输入该作用域中一个末分配的IP地址,在“MAC地址”后面输入指定客户端计算机的MAC地址,在“支持的类型”下面选择“两者”或“仅DHCP"

在这里插入图片描述2. 使用DHCP Snooping信任端口
DHCP Snooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。
在这里插入图片描述
一旦将交换机的某一个端口设置为指向正确DHCP服务器的接入端口,那么交换机会自动丢弃从其他端口上接收到的DHCP响应报文
在这里插入图片描述因为非信任端口,所以非法的DHCP服务器虽然接收到了信息,也发出了响应报文,但是在不信任端口处被阻断了,内网设备就不会得到不信任DHCP发送的响应报文了。
就是不管你响应有多快,但是都半路夭折了。
在这里插入图片描述当然,对不同的交换机等设备、不同的DHCP服务器软件需要采取不同的安全技术和策略。
这个可以参阅相关设备和软件的技术文档。

总结:

在这里插入图片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

redis 设置只有内网IP可以访问

設置只有內網IP可以訪問 1、將redis.conf裏的      bind 127.0.0.1 修改成本機本地IP 2、僅對特定IP開放該端口      firewall-cmd --permanent --add-rich-rule=

龍丶胤 2020-07-08 02:30:07

arp欺骗成功实例

 今天晚上抓雞,偶遇一臺2000的機器,習慣性的ping了下,讓我很興奮ping值只有13,這麼快的肉雞,不把它搞定了很難受,scan下21 80,3306 5900 端口開放,汗先掃下口令,欣喜若狂,這個管理員夠弱智的,mysql口令居

meiyouhuiyi 2020-07-07 09:14:34

VMware虚拟机搭建Kali Linux操作系统

一、版本信息 操作系統:Windows10 64位 VMware:VMware Workstation Pro 15.5 Kali:Kali-2019.3 64位 二、操作步驟 1.下載 VMware:https://my

不仅自己可见 2020-07-02 07:35:55

描述在IPSec传输模式下ESP报文装包和拆包过程

        IPSec是一種端到端的確保IP層通信安全的體制,IPSec不是一個單獨的協議,而是一組協議,如圖1所示,IPSec安全體系主要包含了3種協議ESP、AH、IKE,1個安全聯盟SA和一些加密和認證的算法。        

tl437002770 2020-06-11 04:33:06

网络安全技术第八章——虚拟专用网络

內容多次多次都被退回,實在是沒有辦法,對不住了

Z---A 2020-06-07 03:37:00

网络安全技术第五章——第二节ARP地址解析协议安全(ARP欺骗攻击、针对内网主机。针对网关、针对交换机、中间人攻击)

第二節ARP地址解析協議安全ARP地址解析協議1.概述:2.ARP緩存表3.動態學習過程4.ARP欺騙5.ARP欺騙方式6.ARP防範總結: ARP地址解析協議 1.概述: 通過DNS將域名解析到對應的IP地址,但是IP是邏輯地址

Z---A 2020-06-07 03:37:00

网络安全技术第一章——计算机网络安全概述1

計算機網絡安全概述 爲了方便大家觀看,我每章都不會很長,因爲太長了容易看不下去,我本人耐性就比較差,對那些太長的文章就感覺不是很能看下去,學到的知識也很有限,所以我寫的話很長的文章我會盡量避免一下。 計算機網絡安全概述1計算機網絡

Z---A 2020-06-07 03:37:00

网络安全技术第一章——计算机网络安全概述3(常用网络安全管理技术与蜜罐技术、蜜网技术)

因爲要使用推薦卡,所以這一篇寫的稍微有點長 計算機網絡安全概述3(常用網絡安全管理技術與蜜罐技術、蜜網技術)一、物理安全技術1.定義:物理安全(1)相應的一些國家標準(舉例)總結:2.物理隔離的概念(1)物理隔離技術的基本思想3.

Z---A 2020-06-07 03:37:00

网络安全技术第四章——身份认证技术(身份认证及方式、身份认证三要素、身份认证协议、KERBEROS协议、SSL协议)

爲了方便大家觀看,我每章都不會很長,因爲太長了容易看不下去,我本人耐性就比較差,對那些太長的文章就感覺不是很能看下去,學到的知識也很有限,所以我寫的話很長的文章我會盡量避免一下。 身份認證技術身份認證及方式1.概述:2.身份認證的

Z---A 2020-06-07 03:37:00

网络安全技术第二章——数据加密技术及应用(数据加密概述、密码体制、加密算法数字签名和报文鉴别身份认证)

數據加密技術及應用一、數據加密概述1.數據加密技術2.密碼學3.保密體制或保密系統4.密碼體制5.數據加密6.常見現代密碼7.數據加密標準DES概述8.高級加密標準AES概述非對稱密碼體制二、數字簽名報文鑑別1.數字簽名2.數字簽

Z---A 2020-06-07 03:37:00

网络安全技术第一章——计算机网络安全概述2

爲了方便大家觀看,我每章都不會很長,因爲太長了容易看不下去,我本人耐性就比較差,對那些太長的文章就感覺不是很能看下去,學到的知識也很有限,所以我寫的話很長的文章我會盡量避免一下。 計算機網絡安全概述2一、網絡安全威脅的類型網絡安全

Z---A 2020-06-07 03:37:00

网络安全技术第五章——第一节(TCP/IP体系架构、DNS安全、域名劫持、DNS污染、DNSSEC)

TCP/IP體系架構、DNS安全、域名劫持、DNS污染、DNSSEC一、TCP/IP體系架構1.TCP/IP體系分層特點2.各層次的主要功能總結:計算機網絡通信離不開各層之間的相互轉換。二、DNS1.DNS概述2.DNS安全3.基

Z---A 2020-06-07 03:37:00

网络安全技术第三章——PKI/PMI技术及应用

爲了方便大家觀看,我每章都不會很長,因爲太長了容易看不下去,我本人耐性就比較差,對那些太長的文章就感覺不是很能看下去,學到的知識也很有限,所以我寫的話很長的文章我會盡量避免一下。 PKI/PMI技術及應用一、PKI技術1.概念2.

Z---A 2020-06-07 03:37:00

网络安全技术第六章——第一节计算机病毒及其防治(中毒表现、计算机病毒概述、计算机病毒分类、病毒传播路径、计算机病故防治建议、我之前写过一篇这个,有需要的可以去看一下)

我之前寫過一篇這個,有需要的可以去看一下 計算機病毒及其防治計算機病毒概述1.引子2.什麼是計算機病毒(COMPUTER VIRUS)?3.計算機病毒的分類4.計算機病毒的傳播途徑5.計算機病毒的防治 計算機病毒概述 1.引子 2

Z---A 2020-06-07 03:37:00

网络安全技术第六章——第二节蠕虫的特征和防治

蠕蟲的特徵和防治蠕蟲的定義和特徵1.什麼是螺蟲病毒?2.蠕蟲的定義和特徵:3.在網絡環境中,蠕蟲表現出如下的特徵4.蠕蟲的傳播方式5.蠕蟲的感染對象6.幾類主要的蠕蟲6.蠕蟲的防治方法 蠕蟲的定義和特徵 1.什麼是螺蟲病毒? 蠕蟲

Z---A 2020-06-07 03:37:00