DHCP攻击防御.docVIP

关于当前电信网络DHCP攻击防御的分析  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc205607061 一、当下常见的DHCP攻击类型：  PAGEREF _Toc205607061 \h 1  HYPERLINK \l _Toc205607062 1、用户自己设置IP地址造成ip冲突  PAGEREF _Toc205607062 \h 1  HYPERLINK \l _Toc205607063 2、用户伪装成dhcp服务器  PAGEREF _Toc205607063 \h 1  HYPERLINK \l _Toc205607064 3、Dos 用户不停的换mac造成dhcp地址耗尽  PAGEREF _Toc205607064 \h 2  HYPERLINK \l _Toc205607065 二、各厂商对于DHCP攻击防御的支持情况  PAGEREF _Toc205607065 \h 3  HYPERLINK \l _Toc205607066 三、小结：  PAGEREF _Toc205607066 \h 3   一、当下常见的DHCP攻击类型： 1、用户自己设置IP地址造成ip冲突 由于DHCP地址为按序分配，当一个用户通过认证的到地址时，另一个用户如果采用自己设置的同一个地址进行登陆，显然就会造成地址的冲突。 对于此类攻击最有效的方法就是在BRAS上禁止用户使用自己手工配置的IP上网 但是对于电信现有的网络，ip地址是BRAS和radius协商互动后才能够进行分配的，所以自设ip的用户能一般来说我们认为它将认证失败。 2、用户伪装成dhcp服务器 首先明确一些基本概念1，DHCP是动态主机配置协议，主要用来让PC机自动获得IP地址，子网掩码，默认网关等信息2，DHCP的发包方式为广播3，当有多个DHCP的回应时，使用最先到达的回应OK，根据上面的理论，我们就有了以下的攻击方式，DHCP欺骗攻击。请看下图 以上就是DHCP 欺骗攻击的全过程。但是对于现有的IP城域网来说，以用户一vlan的工作模式本身就可以很好的防范此类攻击，因为所有的用户的广播域中只有自己一个人，因而最初的DHCP请求报文只可能到达用户的上行BRAS，因而现有的城域网不存在DHCP欺骗攻击产生的基本条件，所以这种攻击在PPPoE用户间可以忽略，但是在Wlan的环境下同一AP下的主机之间此类攻击仍然有产生的余地，但是范围相对较小，控制性不强。 3、Dos 用户不停的换mac造成dhcp地址耗尽 DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如 gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话，网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。结果当合法用户请求一个 DHCP IP 地址的时候也会被拒绝，并因此而不能访问网络。这种攻击本身是纯粹的服务拒绝（DoS）机制，但也可以和DHCP欺骗联合使用。 DHCP 耗竭攻击的防范 相对主流的方法是通过限制交换机端口的 MAC 地址的数目，防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。但事实上在现行电信的网络中，只有通过认证的用户才能够有条件要求bras对其进行地址分配，在这种环境下DOS攻击能否成立未知（我们认为应该是不成立的）。 二、各厂商对于DHCP攻击防御的支持情况 Redback SE800 在一个接口上，如果启用了使用DHCP方式分配IP地址，SmartEdge 可以禁止下联用户采用手工分配的IP地址上网。 该功能无需配置 SmartEdge 可以限制每个用户最多允许申请的IP地址数。 subscriber name xxx dhcp max-addrs 100 HUAWEI ME60和HUAWEI MA5200Gn Bras本身不能对于DHCP 耗竭攻击进行控制，只能寄希望与radius上的用户限制或是接入侧交换机的限制。 但是对于每个域可以通过Access limit设置域的用户数量限制。 JUNIPER E320和JUNIPER EX1400 只能做到对于dhcp报文进行流量限制，防止巨大的dhcp流量 三、小结： 综上所述，我们认为目前的电信网络结构对于DHCP攻击的防护还是比较有利的，主要能做的是在radius认证服务器上关于认证进行控制，加强员工的保密意识，而设备方面能做到的控制并不多。