HC120117001DHCP原理讲解.pptVIP

Page* DHCP Snooping(续) DHCP Snooping的应用（2） 中间人攻击和IP/MAC Spoofing攻击原理 DHCP Client 2-2-2 Middle-man 1-1-1 IP/ARP Packets (IP: MAC 1-1-1) IP/ARP Packets (IP: MAC 1-1-1) DHCP Server 3-3-3 查看DHCP Client和DHCP Server的ARP表项，可以看到如下信息： DHCP Client上的ARP表项： 1-1-1 DHCP Server上的ARP表项： 1-1-1 SWA Page* DHCP Snooping(续) DHCP Snooping的应用（2） 中间人攻击和IP/MAC Spoofing攻击解决方法 IP/ARP Packets (IP: MAC 1-1-1) IP/ARP Packets (IP: MAC 1-1-1) DHCP Client 2-2-2 Middle-man 1-1-1 DHCP Server 3-3-3 SWA 为了防止中间人攻击或IP/MAC Spoofing 攻击，可以在交换机上配置DHCP Snooping 功能，使能DHCP Snooping 绑定表功能后，只有接收到的报文的信息和绑定表中的内容一致才会被转发，否则报文将被丢弃。 Page* DHCP Snooping(续) DHCP Snooping的应用（3） 饿死攻击 攻击原理：在饿死攻击方式中，攻击者不断变换物理地址，尝试申请地址池中所有的IP 地址，直到耗尽DHCP Server 地址池中的地址，导致其他正常用户无法获得地址。 解决方案：通过MAC 地址限制功能可以防止饿死攻击。通过限制交换机接口上允许学习到的最多MAC 地址数目，防止用户通过变换MAC 地址，大量发送DHCP 请求，同时也限制了一个接口上的用户数目。 Page* DHCP Snooping(续) DHCP Snooping的应用（4） 改变CHADDR 值的饿死攻击 攻击原理：在这种攻击方式中，如果攻击者改变的不是数据帧头部的源MAC，而是改变DHCP 报文中的CHADDR（Client Hardware Address）值来不断申请IP 地址，而交换机仅根据数据帧头部的源MAC 来判断该报文是否合法，那么MAC 地址限制方案不能起作用。 解决方案：可以使用DHCP Snooping 检查DHCP REQUEST 报文中CHADDR 字段的功能。如果该字段跟数据帧头部的源MAC 相匹配，便转发报文；否则，丢弃报文。 Page* DHCP Snooping(续) DHCP Snooping的应用（5） ARP攻击原理 ARP攻击方式：有针对主机的，也有针对网关的；有地址欺骗型的，也有野蛮攻击型的；有来自病毒的攻击，也有来自使用非法软件的人为攻击。 ARP攻击根源：ARP协议本身过于简单和开放，没有任何的安全手段。 ARP攻击危害：ARP地址欺骗攻击一般针对个别或一定范围内的主机进行，危害相对较小。但针对网关设备的大流量ARP DDOS攻击，由于其网络位置的特殊性，将造成大面积用户“掉线”。 Page* DHCP Snooping(续) DHCP Snooping的应用（5） ARP攻击 解决方法 在应用DHCP服务器的组网环境下， 建立可信端口（trust Port），通过监控可信端口的DHCP 报文获得IP/MAC地址绑定表，这是DHCP Check IP/ARP安全检查手段的重要依据。实际上也是一种安全焦点的转移，把ARP安全问题转换为别的安全问题。 DHCP Snooping Chek IP/ARP 依据可信端口上生成的绑定表，过滤掉所有不匹配的IP/ARP报文。大大的提高了防攻击的能力。 Page* 目 录 DHCP 的基本原理 DHCP Snooping DHCP 在S9300上的配置 Page* 目 录 DHCP 在S9300上的配置 3.1 DHCP Relay组网应用 3.2 DHCP Server组网应用 3.3 DHCP Snooping组网应用 Page* DHCP Relay组网应用 DHCP Relay组网场景如下图： S9300 做DHCP Relay，把用户的上线请求报文转发给DHCP Server DHCP Client 0 DHCP client 2 DHCP server DHCP Relay Network A S9300 Network C Network B Network DHCP Client 1 中间可能有多个网络 Page* DHCP R