ＤＨＣＰ欺騙的防范原理及實(shí)現(xiàn)

1、欺騙的防范原理及實(shí)現(xiàn)摘要本文先介紹了dhp及dhp欺騙的工作原理，然后給出了防范dhp欺騙的原理、實(shí)現(xiàn)的方法和實(shí)現(xiàn)的例子。關(guān)鍵詞dhp欺騙dhpsnping防范在tp/ip網(wǎng)絡(luò)中，每臺(tái)計(jì)算機(jī)要與其他計(jì)算機(jī)通信，都必須進(jìn)展根本的網(wǎng)絡(luò)配置ip地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、dns等。對(duì)于小型網(wǎng)絡(luò)，為每臺(tái)計(jì)算機(jī)一一配置這樣的屬性也許還可以承受，由于網(wǎng)絡(luò)應(yīng)用的開(kāi)展，特別是電子商務(wù)、電子政務(wù)、辦公自動(dòng)化等新的網(wǎng)絡(luò)應(yīng)用的出現(xiàn)，網(wǎng)絡(luò)的規(guī)模也逐漸擴(kuò)大，這樣對(duì)于一個(gè)有幾百、上千臺(tái)的網(wǎng)絡(luò)，根本的網(wǎng)絡(luò)配置工作雖然簡(jiǎn)單，但配置的工作量相當(dāng)大，而且對(duì)以后的維護(hù)帶來(lái)不便。為了便于統(tǒng)一規(guī)劃和管理網(wǎng)絡(luò)中的ip地址，dhp(dyna

2、ihstnfigureprtl，動(dòng)態(tài)主機(jī)配置協(xié)議)應(yīng)運(yùn)而生了。這種網(wǎng)絡(luò)效勞有利于網(wǎng)絡(luò)中的客戶機(jī)自動(dòng)進(jìn)展網(wǎng)絡(luò)配置，而不需要一個(gè)一個(gè)手動(dòng)指定，但dhp效勞在設(shè)計(jì)時(shí)，沒(méi)有過(guò)多的考慮平安問(wèn)題，因此，這種效勞在為網(wǎng)絡(luò)配置提供方便的時(shí)候，又帶來(lái)了問(wèn)題。一、dhp工作原理dhp效勞分為兩個(gè)局部：效勞器端和客戶端。所有的ip網(wǎng)絡(luò)配置資料都由效勞器集中管理，并負(fù)責(zé)處理客戶端的dhp要求；而客戶端那么會(huì)使用從效勞器分配下來(lái)的網(wǎng)絡(luò)配置數(shù)據(jù)進(jìn)展網(wǎng)絡(luò)配置。這種網(wǎng)絡(luò)配置數(shù)據(jù)的分配是動(dòng)態(tài)的，是會(huì)變化的，稱為“租約分配?！白饧s的形成有4個(gè)階段：發(fā)現(xiàn)階段:客戶端尋找效勞器的階段?？蛻舳碎_(kāi)場(chǎng)時(shí)并不知道效勞器的ip地址，因此，它會(huì)

3、向本地網(wǎng)絡(luò)播送發(fā)送disver發(fā)現(xiàn)信息來(lái)尋找效勞器，本地網(wǎng)絡(luò)中的所有計(jì)算機(jī)都會(huì)接收到這種播送，但只有dhp效勞器才會(huì)做出響應(yīng)。提供階段:效勞器向客戶端提供網(wǎng)絡(luò)配置參數(shù)的階段。在網(wǎng)絡(luò)中接收到客戶端disver發(fā)現(xiàn)信息的dhp效勞器都會(huì)做出響應(yīng)，它們會(huì)從尚未出租的ip地址中挑選一個(gè)，向客戶端發(fā)送包含預(yù)備出租的ip地址和其他設(shè)置的ffer提供信息。選擇階段:客戶端選擇某臺(tái)效勞器提供的網(wǎng)絡(luò)配置參數(shù)的階段。假如網(wǎng)絡(luò)中存在多臺(tái)dhp效勞器,它們都會(huì)向客戶端發(fā)送ffer信息,客戶端可能會(huì)收到多臺(tái)dhp效勞器發(fā)送的ffer信息,但它只選擇接收到的第一個(gè)ffer信息，然后它就以播送形式發(fā)送一個(gè)request懇求

4、信息，該信息中包含向它所選定的第一個(gè)ffer信息中的網(wǎng)絡(luò)配置參數(shù)和它選擇的dhp效勞器的信息。確認(rèn)階段:dhp效勞器確認(rèn)所提供的網(wǎng)絡(luò)配置參數(shù)。在網(wǎng)絡(luò)中接收到客戶端request懇求信息的對(duì)應(yīng)dhp效勞器會(huì)做出響應(yīng)，假如效勞器能滿足客戶端的懇求,它便會(huì)向客戶端發(fā)送一個(gè)包含網(wǎng)絡(luò)配置參數(shù)的ak確認(rèn)信息,告訴客戶端可以使用它所提供的效勞,客戶端根據(jù)該nak信息來(lái)配置其網(wǎng)絡(luò)參數(shù)，否那么,它便會(huì)向客戶端發(fā)送一個(gè)不能滿足懇求的nak信息，并且收回ffer信息中欲分配給客戶端的地址,客戶端會(huì)回到第一步,重新發(fā)起disver信息。而其他dhp效勞器不會(huì)對(duì)懇求做出應(yīng)答，一定時(shí)間后,那些發(fā)送了ffer信息的dhp效

5、勞器,假如沒(méi)有收到響應(yīng)的request信息,那么會(huì)收回ffer信息中欲分配給客戶端的地址?！白饧s形成后，dhp效勞發(fā)揮作用，在不同的“租用期限將會(huì)經(jīng)歷以下幾個(gè)階段：重新登錄:它將嘗試更新上次關(guān)機(jī)時(shí)擁有的ip租用，即客戶端直接發(fā)request懇求信息，該request信息和第一次的request信息不同之處在于沒(méi)有dhp效勞器的信息,所有的dhp效勞器都會(huì)收到該信息。假如先收到ak信息，那么繼續(xù)使用現(xiàn)有ip地址，并更新其租期；假如先收到nak信息，那么發(fā)送disver信息，開(kāi)場(chǎng)新一輪的ip租用過(guò)程；假如未收到任何效勞器的ak或nak信息，客戶機(jī)將嘗試聯(lián)絡(luò)現(xiàn)有ip租用中列出的缺省網(wǎng)關(guān)，假如聯(lián)絡(luò)成功

6、且租用尚未到期，客戶機(jī)那么認(rèn)為自己仍然位于與它得現(xiàn)有ip租用時(shí)一樣的子網(wǎng)上沒(méi)有被移走繼續(xù)使用現(xiàn)有ip地址。假如未能與缺省網(wǎng)關(guān)聯(lián)絡(luò)成功，客戶機(jī)那么認(rèn)為自己已經(jīng)被移到不同的子網(wǎng)上，將會(huì)開(kāi)場(chǎng)新一輪的ip租用過(guò)程。更新租約階段:任何租約都有一個(gè)租借期限，期滿后，dhp效勞器便會(huì)收回出租的網(wǎng)絡(luò)配置參數(shù)。假如要延長(zhǎng)其ip租約，那么必須更新其租約。系統(tǒng)約定，客戶端ip租約過(guò)半時(shí)，客戶端會(huì)自動(dòng)發(fā)送更新租約的request信息該信息是一個(gè)單播信息，即直接向租用網(wǎng)絡(luò)參數(shù)的效勞器發(fā)送。假如效勞器是可用的，通常回送一個(gè)ak信息，同意客戶端的懇求，客戶端繼續(xù)使用現(xiàn)有ip地址，并更新其租期;假如效勞器是不可用的，通?；厮?/p>

7、一個(gè)nak信息，客戶端可以繼續(xù)使用現(xiàn)有ip地址，但不更新其租期。重新捆綁階段:假如客戶端在租用期到達(dá)出租時(shí)間的50%時(shí)，更新租約不成功，當(dāng)租用期到達(dá)出租時(shí)間的近87.5以上時(shí)，客戶端會(huì)再次試圖更新租用期。假如效勞器是可用的，通常回送一個(gè)ak信息，同意客戶端的懇求，客戶端繼續(xù)使用現(xiàn)有ip地址，并更新其租期；假如效勞器是不可用的，通?；厮鸵粋€(gè)nak信息，客戶端可以繼續(xù)使用現(xiàn)有ip地址，但不更新其租期，直到客戶端租約已滿，然后一切從頭開(kāi)場(chǎng)。二、dhp欺騙原理從dhp工作原理可以看出，假如客戶端是第一次、重新登錄或租期已滿不能更新租約，客戶端都是以播送的方式來(lái)尋找效勞器，并且只接收第一個(gè)到達(dá)的效勞器提

8、供的網(wǎng)絡(luò)配置參數(shù)，假如在網(wǎng)絡(luò)中存在多臺(tái)dhp效勞器有一臺(tái)或更多臺(tái)是非受權(quán)的，誰(shuí)先應(yīng)答，客戶端就采用其提供的網(wǎng)絡(luò)配置參數(shù)。假設(shè)非受權(quán)的dhp效勞器先應(yīng)答，這樣客戶端最后獲得的網(wǎng)絡(luò)參數(shù)即是非受權(quán)的，客戶端即被欺騙了。而在實(shí)際應(yīng)用dhp的網(wǎng)絡(luò)中，根本上都會(huì)采用dhp中繼，這樣的話，本網(wǎng)絡(luò)的非受權(quán)dhp效勞器一般都會(huì)先于其余網(wǎng)絡(luò)的受權(quán)dhp效勞器的應(yīng)答由于網(wǎng)絡(luò)傳輸?shù)难舆t，在這樣的應(yīng)用中，dhp欺騙更容易完成。三、dhp欺騙防范防范原理:為了防止dhp欺騙，只要不讓非受權(quán)的的dhp效勞器的應(yīng)答通過(guò)網(wǎng)絡(luò)即可，目前網(wǎng)絡(luò)根本都采用交換機(jī)直接到桌面,并且交換機(jī)的一個(gè)端口只接一臺(tái)計(jì)算機(jī)，因此，可以在交換機(jī)上做控制

9、，只讓合法的dhp應(yīng)答通過(guò)交換機(jī)，阻斷非法的應(yīng)答，從而防止dhp欺騙，并且對(duì)用戶的計(jì)算機(jī)不用做任何的改變。1.防范方法:在交換機(jī)上啟用dhpsnping功能dhpsnping通過(guò)建立和維護(hù)dhpsnping綁定表并過(guò)濾不可信任的dhp信息來(lái)防止dhp欺騙。dhpsnping截獲交換機(jī)端口的dhp應(yīng)答報(bào)文，建立一張包含有用戶a地址、ip地址、租用期、vlanid、交換機(jī)端口等信息的一張表，并且dhpsnping還將交換機(jī)的端口分為可信任端口和不可信任端口，當(dāng)交換機(jī)從一個(gè)不可信任端口收到dhp效勞器的報(bào)文時(shí)，比方dhp0ffer報(bào)文、dhpak報(bào)文、dhpnak報(bào)文，交換時(shí)機(jī)直接將該報(bào)文丟棄；對(duì)信

10、任端口收到的dhp效勞器的報(bào)文，交換機(jī)不會(huì)丟棄而直接轉(zhuǎn)發(fā)。一般將與用戶相連的端口定義為不可信任端口，而將與dhp效勞器或者其他交換機(jī)相連的端口定義為可信任端口，也就是說(shuō)，當(dāng)在一個(gè)不可信任端口連接有dhp效勞器的話，該效勞器發(fā)出的報(bào)文將不能通過(guò)交換機(jī)的端口。因此只要將用戶端口設(shè)置為不可信任端口，就可以有效地防止非受權(quán)用戶私自設(shè)置dhp效勞而引起的dhp欺騙。2.實(shí)現(xiàn)步驟(用is思科的交換機(jī)為例)：(1)在交換機(jī)的全局配置形式中啟用dhpsnping交換機(jī)名(nfig)#ipdhpsnping(2)在交換機(jī)的全局配置形式中開(kāi)啟需要啟用dhpsnping的vlan交換機(jī)名(nfig)#ipdhpsnpingvlanvlan號(hào)(3)在端口配置子形式中將受權(quán)dhp效勞器所連的端口設(shè)為信任端口(缺省啟用dhpsnping的vlan所在端口都是非信任端口交換機(jī)名(nfig-if)#ipdhpsnpingtrust四、完畢語(yǔ)在采用dhp方式分配網(wǎng)絡(luò)參數(shù)的網(wǎng)絡(luò)中，dhp欺騙是存在的。因此，在網(wǎng)絡(luò)