但这种攻击可以使用Cisco交换机的端口安全特性来防止。.PDFVIP

一、采用 DHCP 服务的常见问题 架设 DHCP 服务器可以为客户端自动分配 IP 地址、掩码、默认网关、DNS 服务器等网络参数，简化了 网络配置，提高了管理效率。但在DHCP 服务的管理上存在一些问题，常见的有： ●DHCP Server 的冒充 ●DHCP Server 的DOS 攻击，如 DHCP 耗竭攻击 ●某些用户随便指定 IP 地址，造成 IP 地址冲突 1、DHCP Server 的冒充 由于DHCP 服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台 DHCP 服务器，它就可以为 客户端分配 IP 地址以及其他网络参数。只要让该 DHCP 服务器分配错误的 IP 地址和其他网络参数，那就会 对网络造成非常大的危害。 2、DHCP Server 的拒绝服务攻击 通常 DHCP 服务器通过检查客户端发送的 DHCP 请求报文中的 CHADDR （也就是 Client MAC address）字段来 判断客户端的 MAC 地址。正常情况下该 CHADDR 字段和发送请求报文的客户端真实的 MAC 地址是相同的。攻 击者可以利用伪造 MAC 的方式发送DHCP 请求，但这种攻击可以使用 Cisco 交换机的端口安全特性来防止。 端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC 地址。但是如果攻击者不修改 DHCP 请求报文的源 MAC 地址，而是修改 DHCP 报文中的 CHADDR 字段来实施攻击，那端口安全就不起作用了。由 于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR 的DHCP 请求，导致 DHCP 服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种 DHCP 耗竭攻击。DHCP 耗竭攻击可以是纯粹的 DOS 攻击，也可以与伪造的 DHCP 服务器配合使用。当正常的 DHCP 服务器瘫痪时，攻击者就可以建立伪造的 DHCP 服务器来为局域网中的客户端提供地址，使它们将信息转发 给准备截取的恶意计算机。甚至即使 DHCP 请求报文的源 MAC 地址和 CHADDR 字段都是正确的，但由于 DHCP 请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。 3、客户端随意指定 IP 地址 客户端并非一定要使用 DHCP 服务，它可以通过静态指定的方式来设置 IP 地址。如果随便指定的话，将会 大大提高网络 IP 地址冲突的可能性。 二、DHCP Snooping 技术介绍 DHCP 监听（DHCP Snooping）是一种DHCP 安全特性。Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听 特性。通过这种特性，交换机能够拦截第二层 VLAN 域内的所有 DHCP 报文。 DHCP 监听将交换机端口划分为两类： ●非信任端口：通常为连接终端设备的端口，如 PC，网络打印机等 ●信任端口：连接合法 DHCP 服务器的端口或者连接汇聚交换机的上行端口 通过开启 DHCP 监听特性，交换机限制用户端口（非信任端口）只能够发送 DHCP 请求，丢弃来自用户端口 的所有其它DHCP 报文，例如 DHCP Offer 报文等。而且，并非所有来自用户端口的 DHCP 请求都被允许通过， 交换机还会比较 DHCP 请求报文的（报文头里的）源 MAC 地址和（报文内容里的）DHCP 客户机的硬件地址 （即CHADDR 字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了 DHCP 耗竭攻 击。信任端口可以接收所有的 DHCP 报文。通过只将交换机连接到合法 DHCP 服务器的端口设置为信任端口， 其他端口设置为非信任端口，就可以防止用户伪造 DHCP 服务器来攻击网络。DHCP 监听特性还可以对端口 的DHCP 报文进行限速。通过在每个非信任端口下进行限速，将可以阻止合法 DHCP 请求报文的广播攻击。 DHCP 监听还有一个非常重要的作用就是建立一张 DHCP 监听绑定表（DHCP Snooping Binding）。一旦一个 连接在非信任端口的客户端获得一个合法的 DHCP Offer，交换机就会自动在DHCP 监听绑定表里添加一个 绑定条目，内容包括了该非信任端口的客户端 IP 地址、MAC 地址、端口号、VLAN 编号、租期等信息。如： Switch#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface