DHCP snooping、DHCP安全及威胁防范

飞翔的瓜牛2024-03-27 22:36

DHCP snooping、DHCP安全及威胁防范

SW1display dhcp snooping user-bind all,查看DHCP snooping表项。

DHCP snooping:

表项是通过服务器发送给客户端的ACK报文生成的。

只能在交换机上开启,路由器不支持,并且建议在接入交换机开启(汇聚和核心交换机开启没有意义)

**主要原理:**当DHCP服务器给客户端回复ACK报文时,会在交换机连接终端的接口生成snooping表项。

**snooping表项包含:**MAC地址,IP地址,接口编号,VLAN-ID,租期信息。

snooping表项的老化时间根据租期而定,同时如果终端发送释放报文那么绑定表也会随之删除。

书签-DHCP主要的攻击方式:

**一、DHCP饿死攻击:**攻击者伪装成主机向DHCP Server服务器请求IP分配,耗尽服务器的地址池地址,是的正常PC无法请求到可以使用的IP。

1、防御饿死攻击:

可以通过开启DHCP请求消息中数据链路层MAC地址和报文中CHADDR字段一致性检查,如果不一致就会认为是攻击,丢弃该报文。

SW1dhcp enable //首先,全局使能DHCP功能

SW1dhcp snooping enable //全局使能DHCP Snooping功能

SW1-GigabitEthernet0/0/1dhcp snooping enable //接口下使能DHCP snooping功能

SW1-vlan1dhcp snooping enable //在vlan视图下使能DHCP snooping,即在该vlan下的所有接口都使能

SW1-GigabitEthernet0/0/1dhcp snooping check dhcp-chaddr enable //开启chaddr一致性检查

如何判断发生了饿死攻击:可以通过检查DHCP服务器地址池分配是否存在异常来判断是否发生了饿死攻击!!!

防御变异的饿死攻击:

对于攻击者将帧源MAC和CHADDR的MAC同时修改的场景,一致性检查无效,实际该场景没有预防措施。

对于这种场景我们可以通过限制接口snooping表项数量来控制。

SW1-GigabitEthernet0/0/1dhcp snooping max-user-number 1~1024个;//限制该接口学习snooping表项的数量

2、DHCP客户端伪造DHCP报文攻击:

攻击者仿冒合法用户发送request报文续租IP导致IP无法被正常回收,久而久之,将没有空闲IP分配给合法终端;

攻击者仿冒合法用户发送release报文释放IP地址,导致合法用户异常下线。

SW1-GigabitEthernet0/0/1dhcp snooping check dhcp-request enable //开启DHCP请求消息与绑定表匹配查询。

3、非DHCP客户端伪造DHCP报文攻击:

SW1-GigabitEthernet0/0/1dhcp snooping sticky-mac,//开启设备基于DHCP snooping表项粘滞功能的MAC地址表学习机制,默认关闭MAC地址表学习功能,且报文不予转发。

功能相似:SW1-GigabitEthernet0/0/1mac-address learning disable action discard;

特别注意:一旦配置这条命令,这个接口就只能连接DHCP客户端,对于静态IP配置的终端无法进行通讯。

4、DHCP报文泛洪攻击:

SW1DHCP snooping check dhcp-rate enable //全局开启接口处理DHCP报文的频率功能。用来防止PC一秒钟发送成千上万次的正常的DHCP请求

SW1dhcp snooping check dhcp-rate 1~100 //每秒钟处理1~100和DHCP数据包

5、仿冒DHCP Server攻击:

私接路由器等设备,成为假的DHCP Server给同网络的终端分配地址。(交换机出来的网线接入到路由器LAN口,LAN口默认开启了DHCP功能)

信任接口和非信任接口

启用了DHCP snooping功能的交换机所有接口默认情况下都是非信任接口 该接口没有snooping表项

5.1非信任接口收到DHCP请求消息时,只转发给信任接口。

非信任接口收到DHCP响应消息时,直接丢弃

5.2 信任接口收到了DHCP请求消息时,会转发给其他的信任接口,如果没有,将丢弃

信任接口收到了DHCP响应消息时,会发给非信任接口

SW1-GigabitEthernet0/0/3dhcp snooping trusted //将该接口配置为信任接口

6、DHCP中间人攻击:

SW1arp dhcp-snooping-detect enable //全局开启基于DHCP snooping绑定表的动态ARP检测。

相关推荐
呉師傅9 小时前
联想ideapad 310-15ABR拔掉充电器使用电池工作花屏问题的解决方法【维修个例】
运维·服务器·网络·智能手机·电脑
勇往直前plus9 小时前
Python 属性访问与操作全解析:内置函数、魔法方法与描述符深度指南
java·网络·python
Arenaschi9 小时前
关于GPT的版特点
java·网络·人工智能·windows·python·gpt
代码熬夜敲Q9 小时前
Nginx相关
运维·服务器·nginx
MAXrxc9 小时前
ospf笔记
网络·笔记
薛定猫AI9 小时前
【深度解析】Hermes Agent Velocity Release:长期记忆、自进化技能与多智能体任务编排实践
网络·人工智能
Leweslyh9 小时前
基于 Confucius 架构的无人集群网络控制原语解析
开发语言·网络·php
古月方枘Fry9 小时前
OSPF 企业级多区域网络
运维·服务器·网络
gwjcloud9 小时前
Kubernetes从入门到精通(devops)06
运维·devops
shandianchengzi9 小时前
【记录】Claude Code|Ubuntu26给Claude Code新增任务消息提示音
运维·服务器·ubuntu·ai·大模型·音频·claude
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法04DeepSeek V4 + Claude Code thinking mode 400 错误修复方案05Codex 接入 DeepSeek API 完整配置文档06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07几个好用的ip纯净度检测网站08CC-Switch & Claude 基于 Linux 服务器安装使用指南09CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)10API Key 登录 Codex 也能用插件了,还支持会话删除和导出