DHCP安全問(wèn)題及防范措施

1、編輯版wordDHCP安全問(wèn)題及防范措施摘 要：現(xiàn)代社會(huì)是一個(gè)被網(wǎng)絡(luò)包圍的社會(huì)， 上 網(wǎng)成為現(xiàn)代人的生活基本需求，網(wǎng)絡(luò)也成為現(xiàn)代企業(yè) 的基本生產(chǎn)工具之一。 在這個(gè)大背景下， 有限的IP網(wǎng) 絡(luò)地址資源分配成為制約網(wǎng)絡(luò)信息發(fā)展的障礙，引入DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)成為重要的解決手 段，但是DHCP協(xié)議在安全上存在的漏洞使得在使用DHCP服務(wù)器為主機(jī)配置網(wǎng)絡(luò)地址和參數(shù)時(shí)面臨威 脅。文章對(duì)這些DHCP安全問(wèn)題和防范措施進(jìn)行了探 討。關(guān)鍵詞：DHCP;安全問(wèn)題；防范措施 中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1006-8937（2014）8-0070-021 DHCP的安全問(wèn)題 作為允許無(wú)

2、盤工作站連接到網(wǎng)絡(luò)并使之自動(dòng)獲取 一個(gè)IP地址的BOOTP協(xié)議的擴(kuò)展之一，DHCP（動(dòng) 態(tài)主機(jī)分配協(xié)議）由兩個(gè)基本部分組成，一部分是向 網(wǎng)絡(luò)主機(jī)傳送專用的配置信息， 一部分是給主機(jī)分配 網(wǎng)絡(luò)地址。DHCP技術(shù)很好解決了IP地址匱乏的現(xiàn)實(shí) 問(wèn)題，同時(shí)還解決了移動(dòng)計(jì)算機(jī)迅速獲取IP地址的技 術(shù)難題，為網(wǎng)絡(luò)信息的發(fā)展做出了重要的貢獻(xiàn)。但是 由于在設(shè)計(jì)DHCP時(shí)更多的考慮是網(wǎng)絡(luò)連接的便利 性，存在一定的安全漏洞，編輯版word其中主要的有以下幾種：1DHCP在設(shè)計(jì)上不具有任何防御惡意主機(jī)的功 能。隨著帶有DHCP功能家用路由器的大量使用，使 用不當(dāng)?shù)脑捑涂赡軐⑦@些路由器轉(zhuǎn)變?yōu)镈HCP服務(wù) 器，這些所謂

3、的DHCP服務(wù)器可能對(duì)外發(fā)布虛假網(wǎng)關(guān) 地址、IP地址池甚至是錯(cuò)誤的DNS服務(wù)器信息，如 果這些非法DHCP指定的DNS服務(wù)器被蓄意修改， 就有可能將用戶引導(dǎo)到木馬網(wǎng)站、虛假網(wǎng)站，盜竊用 戶賬號(hào)和密碼，威脅用戶的信息安全。2DHCP與客戶端相互之間沒(méi)有認(rèn)證機(jī)制，自身 沒(méi)有訪問(wèn)控制。 由于DHCP可以方便的為網(wǎng)絡(luò)中的新 用戶配置IP地址和參數(shù)，一個(gè)非法的客戶可以通過(guò)偽 裝成合法的用戶來(lái)申請(qǐng)IP地址和網(wǎng)絡(luò)參數(shù)， 避開(kāi)網(wǎng)絡(luò) 安全檢查，實(shí)現(xiàn)“盜用服務(wù)” ，導(dǎo)致網(wǎng)內(nèi)信息的泄露。 另外，非法用戶還可以通過(guò) “拒絕資源” 攻擊的方式， 例如耗盡有效地址、CPU或者網(wǎng)絡(luò)資源等，癱瘓蓄意 攻擊的網(wǎng)絡(luò)。3DHCP在

4、安全方面僅僅提供了有限的輔助工具 來(lái)對(duì)分發(fā)的IP地址進(jìn)行管理和維護(hù)， 不具有將地址和 用戶聯(lián)合起來(lái)的復(fù)雜管理功能，使得網(wǎng)絡(luò)管理員無(wú)法對(duì)IP沖突或者流氓IP地址進(jìn)行有效、快速的認(rèn)證和 網(wǎng)絡(luò)跟蹤。2防范DHCP安全問(wèn)題的防范措施DHCP安全的威脅主要有三種，一是人為的無(wú)意 失誤，編輯版word例如用戶賬號(hào)的無(wú)意識(shí)泄露；二是人為的惡意 攻擊，例如通過(guò)主動(dòng)或者被動(dòng)的攻擊方式來(lái)獲取網(wǎng)絡(luò) 信息的計(jì)算機(jī)犯罪行為等； 三是網(wǎng)絡(luò)軟件的漏洞和 “后 門”。例如網(wǎng)絡(luò)軟件編程人員為了自便設(shè)置的“后門” 被黑客察覺(jué)導(dǎo)致的信息泄露等。 對(duì)DHCP安全問(wèn)題的 防范可以從以下三個(gè)方面來(lái)進(jìn)行防范。2.1網(wǎng)絡(luò)入侵檢測(cè) 網(wǎng)絡(luò)入侵檢

5、測(cè)（網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控）技術(shù)利用專門的 網(wǎng)絡(luò)監(jiān)控軟件或者硬件對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控、分析、預(yù)警以及處理。有效的網(wǎng)絡(luò)入侵檢測(cè)部件通過(guò)對(duì)網(wǎng)絡(luò) 上使用的各種網(wǎng)絡(luò)協(xié)議進(jìn)行分析，并和自身的網(wǎng)絡(luò)入 侵特征庫(kù)進(jìn)行對(duì)比，從而發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。網(wǎng) 絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的側(cè)重點(diǎn)是發(fā)現(xiàn)，并 不能預(yù)防，所以還存在一定的缺陷。2.2訪問(wèn)控制 通過(guò)對(duì)用戶訪問(wèn)行為的控制，可以阻止未經(jīng)允許 的用戶有意或者無(wú)意獲取到被保護(hù)網(wǎng)段內(nèi)的信息和數(shù)據(jù)。訪問(wèn)控制技術(shù)是網(wǎng)絡(luò)安全防范保護(hù)的主要技術(shù)， 它通過(guò)入網(wǎng)訪問(wèn)、網(wǎng)絡(luò)權(quán)限設(shè)置、目錄級(jí)以及屬性控 制等手段來(lái)決定誰(shuí)可以訪問(wèn)系統(tǒng)以及系統(tǒng)的何種資 源、對(duì)資源的使用方式等。1入網(wǎng)訪問(wèn)控制。入網(wǎng)訪問(wèn)

6、控制是網(wǎng)絡(luò)的第一層 訪問(wèn)控制。一般分為三個(gè)步驟：登陸用戶名的識(shí)別和 驗(yàn)證、登陸用戶的口令識(shí)別與驗(yàn)證、登陸用戶賬號(hào)的 缺省限制檢查。網(wǎng)編輯版word絡(luò)管理員通過(guò)對(duì)用戶賬號(hào)的控制實(shí) 現(xiàn)對(duì)用戶訪問(wèn)特定網(wǎng)絡(luò)的時(shí)間、方式的權(quán)限。2用戶網(wǎng)絡(luò)權(quán)限的控制。通過(guò)對(duì)用戶或者用戶組 賦予一定的訪問(wèn)權(quán)限，例如對(duì)網(wǎng)絡(luò)目錄、子目錄、文 件以及其他資源的訪問(wèn)，對(duì)用戶或者用戶組進(jìn)行分類 管理，一是特殊用戶，系統(tǒng)管理員；二是一般用戶， 按照實(shí)際需要分配操作權(quán)限；三是審計(jì)用戶，對(duì)網(wǎng)絡(luò) 安全控制與資源使用進(jìn)行審計(jì)的賬戶。3網(wǎng)絡(luò)目錄級(jí)的訪問(wèn)控制。網(wǎng)絡(luò)通過(guò)控制用戶對(duì) 目錄以及目錄下的子目錄和文件的創(chuàng)建、 刪除、修改、 存取控制等權(quán)限，

7、達(dá)到有效控制用戶對(duì)服務(wù)器資源的 訪問(wèn)權(quán)限，加強(qiáng)網(wǎng)絡(luò)以及服務(wù)器的安全性。4網(wǎng)絡(luò)屬性的訪問(wèn)安全控制。屬性安全控制是在 權(quán)限安全控制上的進(jìn)一步防范措施。屬性設(shè)置可以覆 蓋任何已經(jīng)指定的受托著指派的有效權(quán)限。通過(guò)網(wǎng)絡(luò) 屬性的安全控制可以保護(hù)重要目錄和文件，避免文件或者目錄的誤刪除、修改等5網(wǎng)絡(luò)服務(wù)器的訪問(wèn)控制。主要措施是設(shè)置口令 密碼對(duì)服務(wù)器控制臺(tái)進(jìn)行鎖定，防止非法用戶對(duì)重要 信息和數(shù)據(jù)進(jìn)行修改、刪除、破壞；同時(shí)還可以設(shè)置 服務(wù)器登陸的時(shí)間、方式以及服務(wù)器關(guān)閉的時(shí)間間隔。6網(wǎng)絡(luò)的監(jiān)測(cè)和鎖定控制。對(duì)于非法用戶試圖進(jìn) 入網(wǎng)編輯版word絡(luò)的行為進(jìn)行監(jiān)測(cè)，并通過(guò)服務(wù)器發(fā)出圖形、文 字以及聲音等形式的報(bào)警信息

8、，對(duì)于非法訪問(wèn)的次數(shù) 達(dá)到一定值是可以對(duì)該賬號(hào)進(jìn)行自動(dòng)鎖定。2.3 DHCP與客戶端的相互認(rèn)證DHCP協(xié)議在設(shè)計(jì)之初存在無(wú)法對(duì)消息和實(shí)體進(jìn) 行認(rèn)證的缺陷， 現(xiàn)在通過(guò)DHCP認(rèn)證機(jī)制已經(jīng)可以實(shí) 現(xiàn)相互之間的認(rèn)證。DHCP消息認(rèn)證機(jī)制在不改變?cè)?有DHCP協(xié)議的前提下，通過(guò)增加一個(gè)DHCP消息選 項(xiàng)碼來(lái)實(shí)現(xiàn)DHCP服務(wù)器與客戶端之間的認(rèn)證， 另外， 通過(guò)在選項(xiàng)碼中定義不同的認(rèn)證方法，使得消息認(rèn)證 的實(shí)用性、針對(duì)性更強(qiáng)，具有良好的擴(kuò)展性。在認(rèn)證技術(shù)中采用的消息認(rèn)證碼，又稱為MAC， 它是通過(guò)假設(shè)通信雙方共享密匙，并利用這個(gè)密匙通 過(guò)不同的算法來(lái)生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊（MAC），發(fā)送消息的一方將消

9、息和MAC起發(fā)送給 接收消息的一方，接收方用相同的密匙進(jìn)行計(jì)算也得 到一個(gè)MAC,通過(guò)兩個(gè)MAC進(jìn)行比對(duì)來(lái)驗(yàn)證消息的 安全性。通過(guò)在DHCP服務(wù)器向客戶主機(jī)分配IP地 址時(shí)增加一個(gè)檢查主機(jī)的MAC地址的過(guò)程，可以有 效杜絕非法用戶使用內(nèi)部DHCP服務(wù)器登陸的可能。3結(jié)語(yǔ)DHCP技術(shù)較好的解決了IP地址資源匱乏以及移 動(dòng)計(jì)編輯版word算機(jī)上網(wǎng)的IP地址分配問(wèn)題， 但在方便的同時(shí)也 給網(wǎng)絡(luò)帶來(lái)了一些安全問(wèn)題。 通過(guò)加強(qiáng)網(wǎng)絡(luò)入侵檢測(cè)、 網(wǎng)絡(luò)訪問(wèn)控制以及建立起DHCP服務(wù)器與客戶端之間 的認(rèn)證系統(tǒng)可以有效防范DHCP技術(shù)缺陷所可能引發(fā) 的安全問(wèn)題。參考文獻(xiàn)：1黃菊.淺談DHCP在局域網(wǎng)中如何自動(dòng)獲得IP地址J中國(guó)電子商情（科技創(chuàng)新），20