非法DHCP服务器攻击的防御.docVIP

非法DHCP服务器攻击的防御 现今校园网络DHCP服务是一种非常常见的服务，该服务简化了海量学生PC、教室PC、服务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为，这种行为可能是一种恶意操作，也可能是一种无意无操作，比如安装Windows 2000 server的客户端，不小心启用DHCP服务。这种操作无论哪种原因产生的，都会对校园网的运行产生负面影响。第一正常用户从非法DHCP获得非法IP地址，就无法获取正确的网关和DNS等信息；第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突，可能刚好和某些重要校园服务器地址冲突，会影响校园网关键应用的运行。 非法DHCP服务器攻击原理 在某些情况下，入侵者可以将一个DHCP 服务器加入网络，令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和WINS）提供错误的DHCP 信息，从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对必威体育官网网址信息的访问权限，例如用户名和密码，而其他用户对攻击一无所知。过程如下： ????????? 用户发出DHCP Request ????????? 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer ????????? 用户采用第一个响应其请求的DHCP Server，得到错的DHCP信息 ????????? 正确的DHCP Server发出DHCP Offer，用户不采用 如何防范非法DHCP服务器攻击－DHCP Snooping 非信任端口 ? 如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文，其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。 因此，通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。 ????????? 启动DHCP Snooping，将合法DHCP Server的端口设为信任端口，其他端口默认情况下均为非信任端口 ????????? 用户发出DHCP Request ????????? 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer ????????? 交换机自动丢弃所有非信任端口发出的DHCP Offer ????????? 用户采用正确的DHCP Server发出DHCP Offer DHCP Snooping 非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交换机的下行端口（用户接口）设置为DHCP Snooping untrust，将上行端口（连向核心网和汇聚网）设置为DHCP Snooping trust。H3C E328/E352 E126A/E152产品支持DHCP Snooping 非信任端口，可以有效防控校园网内部的非法DHCP服务器攻击发生。