《1【网络安全】【DHCP 攻击与防御】》.pdf

第一章 网络基础设施安全实验 DHCP 攻击与防御 【实验名称】 DHCP 攻击与防御 【实验目的】 使用交换机的 DHCP 监听功能增强网络安全性 【背景描述】 某企业网络中，为了减小网络编址的复杂性和手工配置 IP 地址的工作量，使用了 DHCP 为网络中的设备分配 IP 地址。但网络管理员发现最近经常有员工抱怨无法访问网络资源， 经过故障排查后，发现客户端 PC 通过 DHCP 获得了错误的 IP 地址，从此现象可以判断出 网络中可能出现了 DHCP 攻击，有人私自架设了 DHCP 服务器（伪 DHCP 服务器）导致客 户端 PC 不能获得正确的 IP 地址信息，以至不能够访问网络资源。 【需求分析】 对于网络中出现非法 DHCP 服务器的问题，需要防止其为客户端分配 IP 地址，仅允许 合法的 DHCP 服务器提供服务。交换机的 DHCP 监听特性可以满足这个要求，阻止非法服 务器为客户端分配 IP 地址。 【实验拓扑】 【实验设备】 三层交换机 1 台（支持 DHCP 监听） 二层交换机 1 台（支持 DHCP 监听） PC 机 3 台（其中2 台需安装 DHCP 服务器） 1 网络安全实验教程 【预备知识】 交换机转发原理 交换机基本配置 DHCP 监听原理 【实验原理】 交换机的 DHCP 监听特性可以通过过滤网络中接入的伪 DHCP （非法的、不可信的） 发送的 DHCP 报文增强网络安全性。DHCP 监听还可以检查 DHCP 客户端发送的 DHCP 报文的合法性，防止 DHCP DoS 攻击。 【实验步骤】 第一步：配置 DHCP 服务器 将两台 PC 配置为 DHCP 服务器，一台用做合法服务器，另一台用作伪服务器（Rogue DHCP Server）。可以使用Windows Server 配置 DHCP 服务器，或者使用第三方 DHCP 服 务器软件。合法 DHCP 服务器中的地址池为 172.16.1.0/24，伪 DHCP 服务器的地址池为 1.1.1.0/24。 第二步：SW2 基本配置（接入层） Switch#configure Switch(config)#hostname SW2 SW2(config)#vlan 2 SW2(config-vlan)#exit SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#switchport access vlan 2 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#end SW2# 第三步：SW1 基本配置（分布层） Switch#configure Switch(config)#hostname SW1 SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#exit SW1(config)#vlan 2 SW1(config-vlan)#exit SW1