【网络安全】【DHCP攻击与防御】.docVIP

第一章 网络基础设施安全实验 DHCP 攻击与防御 【实验名称】 DHCP 攻击与防御 【实验目的】 使用交换机的 DHCP 监听功能增强网络安全性 【背景描述】 某企业网络中，为了减小网络编址的复杂性和手工配置 IP 地址的工作量，使用了 DHCP 为网络中的设备分配 IP 地址。但网络管理员发现最近经常有员工抱怨无法访问网络资源，经过故障排查后，发现客户端 PC 通过 DHCP 获得了错误的 IP 地址，从此现象可以判断出网络中可能出现了 DHCP 攻击，有人私自架设了 DHCP 服务器（伪 DHCP 服务器）导致客户端 PC 不能获得正确的 IP 地址信息，以至不能够访问网络资源。 【需求分析】 对于网络中出现非法 DHCP 服务器的问题，需要防止其为客户端分配 IP 地址，仅允许合法的 DHCP 服务器提供服务。交换机的 DHCP 监听特性可以满足这个要求，阻止非法服务器为客户端分配 IP 地址。 【实验拓扑】 【实验设备】 三层交换机 1 台（支持 DHCP 监听） 二层交换机 1 台（支持 DHCP 监听） PC 机 3 台（其中 2 台需安装 DHCP 服务器） 1 网络安全实验教程 【预备知识】 交换机转发原理交换机基本配置 DHCP 监听原理 【实验原理】 交换机的 DHCP 监听特性可以通过过滤网络中接入的伪 DHCP（非法的、不可信的）发送的 DHCP 报文增强网络安全性。DHCP 监听还可以检查 DHCP 客户端发送的 DHCP 报文的合法性，防止 DHCP DoS 攻击。 【实验步骤】 第一步：配置 DHCP 服务器 将两台 PC 配置为 DHCP 服务器，一台用做合法服务器，另一台用作伪服务器（Rogue DHCP Server）。可以使用 Windows Server 配置 DHCP 服务器，或者使用第三方 DHCP 服 务器软件。合法 DHCP 服务器中的地址池为 172.16.1.0/24，伪 DHCP 服务器的地址池为 1.1.1.0/24。 第二步：SW2 基本配置（接入层） Switch#configure Switch config #hostname SW2 SW2 config #vlan 2 SW2 config-vlan #exit SW2 config #interface range fastEthernet 0/1-2 SW2 config-if-range #switchport access vlan 2 SW2 config #interface fastEthernet 0/24 SW2 config-if #switchport mode trunk SW2 config-if #end SW2# 第三步：SW1 基本配置（分布层） Switch#configure Switch config #hostname SW1 SW1 config #interface fastEthernet 0/24 SW1 config-if #switchport mode trunk SW1 config-if #exit SW1 config #vlan 2 SW1 config-vlan #exit SW1 config #interface vlan 2 SW1 config-if #ip address 172.16.1.1 255.255.255.0 SW1 config-if #exit SW1 config #vlan 100 SW1 config-vlan #exit SW1 config #interface vlan 100 2