DHCPsnooping
私设DHCP的危害:
在 DHCP 工作过程中,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器,那么,不仅会给网络造成混乱,也对网络安全造成很大威胁。黑客将正常的 DHCP 服务器中的 IP 地址耗尽,然后冒充合法的 DHCP 服务器,为客户端分配 IP 地址等配置参数。例如,黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS 服务器地址,在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站,骗取用户的账户和密码,这种攻击的危害是很大的。
如何防范私设DHCP服务器:
为了增强网络安全,防止DHCP受到攻击,一种称为DHCP Snooping的技术应运而生。DHCP Snooping不是一种标准技术,尚未有统一的标准规范,不同的网络设备制造商在DHCP Snooping的实现上也不尽相同。(不同厂商的DHCP Snooping设置会有差别)DHCP Snooping部署在交换机上,其作用类似于在DHCP客户端与DHCP服务器端之间构筑了一道虚拟的防火墙。
由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。
为了防止仿冒的DHCP Server攻击,可以设置交换机的“信任/非信任”的工作模式。将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。
“防止私设DHCP服务器”实验网络拓扑
一、实验配置
(1)DHCP1配置:
sysname DHCP1#dhcp enable //开启dhcp功能#ip pool yonghu //创建yonghu地址池gateway-list 192.168.10.1network 192.168.10.0 mask 255.255.255.0dns-list 114.114.114.114#interface GigabitEthernet0/0/0ip address 192.168.10.1 255.255.255.0dhcp select global#
(2)私设DHCP2交换机配置:
sysname DHCP2#dhcp enable //开启dhcp功能#ip pool yonghu //创建yonghu地址池gateway-list 192.168.20.1network 192.168.20.0 mask 255.255.255.0dns-list 8.8.8.8#interface GigabitEthernet0/0/0ip address 192.168.20.1 255.255.255.0dhcp select global#
(3)CORE1交换机配置:
sysname CORE#dhcp enable //开启dhcp功能#dhcp snooping enable //全局开启snooping功能#vlan 1dhcp snooping enable //主机默认都在VLAN1下,vlan1下开启dhcpsnooping功能#interface GigabitEthernet0/0/1dhcp snooping trusted //配置接口为trust接口#
(4)PC1主机配置:
(5)PC2主机配置:
二、结果验证
(1)通过wireshark抓包查看用户从哪个DHCP获取地址情况:
A、DHCP1抓包结果显示:
B、DHCP抓包结果显示:
结果显示:PC1获取地址是从DHCP1获取到地址,因为DHCP1与交换机互联接口是信任接口。
(2)PC1获取地址信息:
长按二维码
关注更多精彩
原文始发于微信公众号(老五说网络):私设DHCP服务器如何防范?DHCPsnooping、trusted信任接口
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论