交换机安全学习笔记 第五章 DHCP缺陷攻击

关于DHCP攻击有如下几类攻击方式:

 

一、耗尽DHCP地址池

   通过随机生成源MAC地址,然后伪造DHCPDISCOVER数据包。耗尽DHCP服务器地址池。   免费的攻击工具：  Yersinia 和 Gobbler

     Gobbler是专门用于攻击DHCP的工具。具有回应DHCP服务器周期发送的ARP请求数据包和ICMP echo（回显）数据包   的能力。从而对抗DHCP服务器回收IP地址的功能。

 

二、利用DHCP无赖服务器劫持流量

   假冒DHCP服务器抢先响应客户端的DHCPDISCOVER消息。这样就可以给目标客户端分配IP地址、网关、DNS服务器等信息。引导受害者访问伪造的网站从而窃取受害者敏感信息。

 

对策：

针对第一种攻击，普通攻击模式 在攻击者接入的交换机LAN口会学习到大量MAC地址。利用之前MAC地址攻击一章提到的交换机的限制端口学习MAC数量配置即可解决。

               高级攻击模式 攻击者使用单一MAC地址通过对Client Hardware Address（客户硬件地址）的关键字随机填充。使得单一MAC打到每个DHCPDISCOVER数据包都对DHCP服务器单独而有效。

               对于此种教高级的攻击模式，端口安全的配置已经无法有效解决。此时我们使用DHCP Snooping机制来解决此问题。至于DHCP Snooping 自己去找资料学习吧...

 

另外第二种攻击方式也可以利用DHCP Snooping解决

 

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，通过截获DHCP Client和DHCP Server之间的DHCP报文并进行分析处理，可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。

DHCP Snooping通过记录DHCP Client的IP地址与MAC地址的对应关系，保证合法用户能访问网络，作用相当于在DHCP Client和DHCP Server之间建立一道防火墙。

DHCP Snooping可以解决设备应用DHCP时遇到DHCP DoS（Denial of Service）攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题。

 

攻击类型	DHCP Snooping工作模式
DHCP Server仿冒者攻击	配置接口状态为信任（Trusted）/不信任（Untrusted）
改变CHADDR值的DoS攻击	检查DHCP报文的CHADDR字段
仿冒DHCP续租报文攻击	检查DHCP Request报文是否匹配DHCP Snooping绑定表
DHCP报文洪泛攻击	限制DHCP报文的上送速率