DHCP安全問題及其防范措施

word可自由復制編輯word可自由復制編輯DHCP安全問題及其防范措施摘要本文主要介紹計算機網(wǎng)絡(luò)當中一個比較常見的安全問題—DHCP的安全問題。DHCP稱作動態(tài)主機分配協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務供應商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段。DHCP用一臺或一組DHCP服務器來管理網(wǎng)絡(luò)參數(shù)的分配，這種方案具有容錯性。即使在一個僅擁有少量機器的網(wǎng)絡(luò)中，DHCP仍然是有用的，因為一臺機器可以幾乎不造成任何影響地被增加到本地網(wǎng)絡(luò)中。甚至對于那些很少改變地址的服務器來說，DHCP仍然被建議用來設(shè)置它們的地址。如果服務器需要被重新分配地址（RFC2071）的時候，就可以在盡可能少的地方去做這些改動。對于一些設(shè)備，如路由器和防火墻，則不應使用DHCP。把TFTP或SSH服務器放在同一臺運行DHCP的機器上也是有用的，目的是為了集中管理。DHCP也可用于直接為服務器和桌面計算機分配地址，并且通過一個PPP代理，也可為撥號及寬帶主機，以及住宅NAT網(wǎng)關(guān)和路由器分配地址。DHCP一般不適用于使用在無邊際路由器和DNS服務器上。DHCP安全問題在網(wǎng)絡(luò)安全方面是一個不可忽略的問題，這種問題內(nèi)部網(wǎng)絡(luò)及網(wǎng)絡(luò)服務提供商在分配IP地址造成的IP沖突、偽造DHCP服務器等攻擊。本文介紹了如何防范和解決此類問題的方法和步驟。關(guān)鍵字：計算機、DHCP、安全問題、攻擊DHCPsafetyandsafeguardsABSTRACTThispapermainlyintroducesthecomputernetworkofacommonsecurityproblemsandDHCPsafetyproblems.DHCPdynamicdistributionagreementcalledthemainframe（DynamichostconfigurationprotocolandDHCP）isaLANnetworkprotocols,theuseofUDPagreement,therearetwomajorpurpose：totheinternalnetworkornetworkserviceprovidertheIPaddressassignedtotheusertotheinternalnetworkadministratorinallcomputeronthecentraladministration.DHCPwithoneorasetofDHCPservertomanagethedistributionnetworkparameters,theschemehasafaulttolerance.Eveninasmallamountofthemachinehasanetwork,andDHCPisstilluseful,foramachinecanhardlyhaveanyinfluence,havebeenaddedtothelocalnetwork.EvenforthosewhorarelychangetheaddressoftheserverandDHCPstillbeingproposedtosettheaddress.Iftheserverneedstobereassignedaddress（rfc2071）,itcanbeasfewaspossibletodothesechanges.Forsomeequipment,suchastherouterandshouldnotbeusedDHCP.TheTFTPserverorSSHinwithaDHCPmachineisalsousefulinordertoadminister.DHCPmayalsodirectlytotheserveranddesktopcomputers,andtheassignmentofaddressesbyaPPPagentoradialing,andbroadbandhost,andthehouseassignmentofaddressesNATgatewayandroutersgenerallydonotapply.DHCPuseintheDNSservermarginalrouters.DHCPsecurityissuesinthenetworksecurityisnottoneglecttheissueoftheinternalnetworkandthenetworkserviceproviderintheallocationofIPaddressoftheconflictandDHCPserverIP,forgeryattack.Thisarticleexplainshowtopreventandresolvetheproblemofmethodsandprocedures.Keyword:Computer、DHCP、Safety、Attack目錄摘要 IIABSTRACT III第一章 緒論 11.1概述 1第二章 應用技術(shù) 22.1DHCP應用技術(shù) 22.2技術(shù)優(yōu)點 22.3應用場合 22.3.1DHCP服務欺騙攻擊 32.3.2ARP“中間人”攻擊 32.3.3IP/MAC欺騙攻擊 42.3.4DHCP報文泛洪攻擊 42.4應用限制 5第三章 特性介紹 53.1相關(guān)術(shù)語 53.2相關(guān)協(xié)議 63.3設(shè)備處理流程 63.3.1DHCPSnooping表項的建立與老化 63.3.2DHCPSnooping信任端口功能 73.3.3ARP入侵檢測功能 83.3.4IP過濾功能 93.3.5DHCP報文限速功能 93.4DHCPSnooping與DHCPRelay安全機制比較 10第四章 典型組網(wǎng)案例 11結(jié)束語 12參考文獻 12緒論1.1概述DHCP是DynamicHostConfigurationProtocol(動態(tài)主機配置協(xié)議)縮寫，它的前身是BOOTP。BOOTP原本是用于無磁盤主機連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機使用BOOTROM而不是磁盤起動并連接上網(wǎng)絡(luò)，BOOTP

則可以自動地為那些主機設(shè)定TCP/IP環(huán)境。但BOOTP有一個缺點：您在設(shè)定前須事先獲得客戶端的硬件地址，而且，與IP的對應是靜態(tài)的。換而言之，BOOTP非常缺乏"動態(tài)性"，若在有限的IP資源環(huán)境中，BOOTP的一對一對應會造成非?？捎^的浪費。DHCP可以說是BOOTP的增強版本，它分為兩個部份：一個是服務器端，而另一個是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務器集中管理，并負責處理客戶端的DHCP要求；而客戶端則會使用從服務器分配下來的IP環(huán)境數(shù)據(jù)。比較起B(yǎng)OOTP，DHCP透過"租約"的概念，有效且動態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP也完全照顧了BOOTPClient的需求。DHCP的分配形式首先，必須至少有一臺DHCP工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的DHCP請求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。應用技術(shù)2.1DHCP應用技術(shù)DHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運行，有很多不安全因素。而且DHCP的運作機制中，通常服務器和客戶端沒有認證機制，如果網(wǎng)絡(luò)上存在多臺DHCP服務器將會給網(wǎng)絡(luò)照成混亂。例如，惡意用戶冒充DHCP服務器，發(fā)放錯誤的IP地址、DNS服務器信息或默認網(wǎng)關(guān)信息，來實現(xiàn)流量的截取等等。交換機可以通過運行在網(wǎng)絡(luò)層的DHCP中繼的安全功能，或運行在數(shù)據(jù)鏈路層的DHCPSnooping功能來監(jiān)聽DHCP報文，記錄服務器分配給客戶端的IP地址等配置信息，并通過與交換機上其它功能模塊的配合，提高整體網(wǎng)絡(luò)的安全性。2.2技術(shù)優(yōu)點DHCPSnooping是運行在二層接入設(shè)備上的一種DHCP安全特性。設(shè)備通過監(jiān)聽DHCP報文，過濾不可信任的DHCP信息；建立和維護DHCPSnooping表項，記錄用戶從DHCP服務器獲取的IP地址和用戶主機的MAC地址的對應關(guān)系，一般可以與其它功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。DHCP中繼運行在網(wǎng)絡(luò)層，其安全功能與DHCPSnooping類似，同樣是記錄用戶的MAC地址與IP地址的信息，一般與ARP功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。2.3應用場合DHCP中繼和DHCPSnooping的安全特性主要應用于接入層交換機上，實現(xiàn)常見二層網(wǎng)絡(luò)攻擊的防范。2.3.1DHCP服務欺騙攻擊在DHCP工作過程中，通常服務器和客戶端沒有認證機制，如果網(wǎng)絡(luò)上存在多臺DHCP服務器，不僅會給網(wǎng)絡(luò)造成混亂，也對網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務器，通常分為兩種情況：1、用戶不小心配置的DHCP服務器，由此引起的網(wǎng)絡(luò)混亂非常常見。2、黑客將正常的DHCP服務器的IP地址耗盡，然后冒充合法的DHCP服務器，為客戶端分配IP地址等配置參數(shù)。例如黑客利用冒充的DHCP服務器，為用戶分配一個經(jīng)過修改的DNS服務器地址，在用戶毫無察覺的情況下被引導至預先配置好的假的金融網(wǎng)站或電子商務網(wǎng)站，騙取用戶的賬戶和密碼，這種攻擊的危害是很大。為了防止DHCP服務欺騙攻擊，交換機提供了"DHCPSnooping信任端口"特性，對DHCP服務器信息來源進行控制。只允許處理信任端口接收的DHCP響應報文，而非信任端口接收到的DHCP響應報文被交換機丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務器獲取IP地址。2.3.2ARP“中間人”攻擊按照ARP協(xié)議的設(shè)計，一個主機即使收到的ARP應答并非自身請求得到的，也會將其IP地址和MAC地址的對應關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。如圖3所示，HostA和HostC通過Switch進行通信。此時，如果有黑客（HostB）想探聽HostA和HostC之間的通信，它可以分別給這兩臺主機發(fā)送偽造的ARP應答報文，使HostA和HostC用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。此后，HostA和HostC之間看似"直接"的通信，實際上都是通過黑客所在的主機間接進行的，即HostB擔當了"中間人"的角色,可以對信息進行了竊取和篡改。這種攻擊方式就稱作"中間人（Man-In-The-Middle）攻擊"。為了防止ARP中間人攻擊，交換機提供了"ARP入侵檢測"特性，根據(jù)動態(tài)獲取的DHCPSnooping表項或靜態(tài)配置的IP與MAC綁定表項，對非法ARP報文進行過濾，保證接入交換機只傳遞合法的ARP請求和應答信息。2.3.3IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造報文的源地址進行攻擊，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)，另外此方法也被應用與DOS（DenyofService,拒絕服務）攻擊，嚴重的危害了網(wǎng)絡(luò)安全。為了防止IP/MAC欺騙攻擊，交換機提供了IP過濾特性，開啟該功能后，減緩級可以強制經(jīng)過某一端口流量的源地址符合動態(tài)獲取的DHCPSnooping表項或靜態(tài)配置的IP與MAC綁定表項的紀錄，防止攻擊者通過偽造源地址來實施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。2.3.4DHCP報文泛洪攻擊DHCP報文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP請求報文發(fā)送到服務器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面，如果交換機上開啟了DHCPSnooping功能，會將接受到的DHCP報文上傳到CPU。因此大量的DHCP報文攻擊設(shè)備會使DHCP服務器高負荷運行，甚至會導致設(shè)備癱瘓。為了防止上述DHCP報文泛洪攻擊，交換機提供了“DHCP報文限速”特性，使受到攻擊的端口暫時關(guān)閉，來避免此類攻擊對網(wǎng)絡(luò)和服務器的沖擊。2.4應用限制DHCP中繼和DHCPSnooping的安全特性運行于不同的網(wǎng)絡(luò)環(huán)境中，因此兩者只需選擇其一應用。在同一交換機上，DHCPSnooping的啟動需以關(guān)閉DHCP中繼為前提。為了使DHCP客戶端通過DHCPSnooping設(shè)備從合法的DHCP服務器獲取IP地址，必須將DHCPSnooping設(shè)備上與合法DHCP服務器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個VLAN內(nèi)。建議用戶不要在交換機上同時配置DHCPSnooping功能和靈活QinQ功能。否側(cè)可能導致DHCPSnooping功能無法正常使用。配置IP過濾功能之前，需要先開啟交換機的DHCPSnooping功能，并配置信任端口。建議用戶不要在匯聚組中的端口上配置IP過濾功能。如果交換機支持IRF功能，建議用戶不要在Fabric端口上配置IP過濾功能。特性介紹3.1相關(guān)術(shù)語DHCPServer：DHCP服務器，為用戶提供可用的IP地址等配置信息。DHCPClient：DHCP客戶端，通過DHCP動態(tài)申請IP地址的用戶。DHCPRelay：DHCP中繼，用戶跨網(wǎng)段申請IP地址時，實現(xiàn)DHCP報文的中繼轉(zhuǎn)發(fā)功能。DHCPSnooping：DHCP監(jiān)聽，紀錄通過二層設(shè)備申請到IP地址的用戶信息。DHCPSecurity：DHCP安全特性，實現(xiàn)合法用戶IP地址表的管理功能。3.2相關(guān)協(xié)議RFC951：BootstrapProtocol(BOOTP)RFC1497：BOOTPVendorInformationExtensionsRFC1542：ClarificationsandExtensionsfortheBootstrapProtocolRFC2131：DynamicHostConfigurationProtocolRFC2132：DHCPOptionsandBOOTPVendorExtensionsRFC3046：DHCPRelayAgentInformationOption3.3設(shè)備處理流程3.3.1DHCPSnooping表項的建立與老化開啟DHCPSnooping功能后，交換機根據(jù)設(shè)備的不同特點可以分別采取監(jiān)聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。目前，H3C低端以太網(wǎng)交換機的DHCPSnooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息，如圖4所示。為了對已經(jīng)無用的DHCPSnooping動態(tài)表項進行定期進行老化刪除，以節(jié)省系統(tǒng)的資源，和減少安全隱患，交換機支持根據(jù)客戶端IP地址的租約對DHCPSnooping表項進行老化。具體實現(xiàn)過程為：當DHCPSnooping至少記錄了一條正式表項時，交換機會啟動20秒的租約定時器，即每隔20秒輪詢一次DHCPSnooping表項，通過表項記錄的租約時間、系統(tǒng)當前時間與表項添加時間的差值來判斷該表項是否已經(jīng)過期。若記錄的表項租約時間小于系統(tǒng)當前時間與表項添加時間的差值，則說明該表項已經(jīng)過期，將刪除該條表項，從而實現(xiàn)DHCPSnooping動態(tài)表項的老化。需要注意的是：DHCPSnooping表項的老化功能有一定的局限性，當DHCP服務器端的租約設(shè)置為無限期或者很長時，會出現(xiàn)老化不及時的現(xiàn)象。3.3.2DHCPSnooping信任端口功能DHCPSnooping的信任端口功能所提供的是對于DHCP服務器信息來源的控制，此功能通過將不信任端口接收的DHCP響應報文丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務器獲取IP地址。信任端口是與合法的DHCP服務器直接或間接連接的端口。信任端口對接收到的DHCP報文正常轉(zhuǎn)發(fā)，從而保證了DHCP客戶端獲取正確的IP地址。不信任端口是不與合法的DHCP服務器連接的端口。如果從不信任端口接收到DHCP服務器響應的DHCP-ACK和DHCP-OFFER報文則會丟棄，從而防止了DHCP客戶端獲得錯誤的IP地址。開啟DHCPSnooping功能后，交換機上的所有端口默認被配置為非信任端口，此時從非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER報文都不會被交換機轉(zhuǎn)發(fā)、也不會上送CPU處理；當某端口被配置為信任端口時，從該端口傳入的DHCP-ACK、DHCP-NAK及DHCP-OFFER報文將被鏡像至CPU處理。需要注意的是：目前交換機實現(xiàn)的DHCPSnooping功能是需要和DHCPSnooping信任端口功能配合使用的。啟動DHCPSnooping功能后，為了使DHCP客戶端能從合法的DHCP服務器獲取IP地址，必須將與合法DHCP服務器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個VLAN內(nèi)。3.3.3ARP入侵檢測功能1.ARP入侵檢測功能工作機制為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機支持將收到的ARP（請求與回應）報文重定向到CPU，結(jié)合DHCPSnooping安全特性來判斷ARP報文的合法性并進行處理，具體如下。當ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCPSnooping表項或者手工配置的IP靜態(tài)綁定表項匹配，且ARP報文的入端口及其所屬VLAN與DHCPSnooping表項或者手工配置的IP靜態(tài)綁定表項一致，則為合法ARP報文，進行轉(zhuǎn)發(fā)處理。當ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCPSnooping表項或者手工配置的IP靜態(tài)綁定表項不匹配或ARP報文的入端口，入端口所屬VLAN與DHCPSnooping表項或者手工配置的IP靜態(tài)綁定表項不一致，則為非法ARP報文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。2.手工配置IP靜態(tài)綁定表項DHCPSnooping表只記錄了通過DHCP方式動態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCPSnooping表記錄，因此不能通過基于DHCPSnooping表項的ARP入侵檢測，導致用戶無法正常訪問外部網(wǎng)絡(luò)。為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機支持手工配置IP靜態(tài)綁定表的表項，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報文。3.ARP信任端口設(shè)置由于實際組網(wǎng)中，交換機的上行口會接收其他設(shè)備的請求和應答的ARP報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCPSnooping表項或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應答報文能夠通過ARP入侵檢測問題，交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測，對其它端口的ARP報文通過查看DHCPSnooping表或手工配置的IP靜態(tài)綁定表進行檢測。3.3.4IP過濾功能IP過濾功能是指交換機可以通過DHCPSnooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進行過濾的功能。在端口上開啟該功能后，交換機首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有IP報文。（同時，需要考慮DHCPSnooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應答報文，否則，允許DHCP應答報文通過。）接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCPSnooping表項或已經(jīng)配置的IP靜態(tài)綁定表項中的IP地