网络安全-DHCP安全 晓通网络.pptVIP

如果封装DHCP请求报文的数据帧的源MAC地址各不相同，则通过mac-address max-mac-count命令限制端口可以学习到的MAC地址数，并配置学习到的MAC地址数达到最大值时，丢弃源MAC地址不在MAC地址表里的报文，能够避免攻击者申请过多的IP地址，在一定程度上缓解DHCP饿死攻击。此时，不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址，但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。 如果封装DHCP请求报文的数据帧的MAC地址都相同，则通过mac-address max-mac-count命令无法防止DHCP饿死攻击。在这种情况下，需要使能DHCP Snooping的MAC地址检查功能。使能该功能后，DHCP Snooping设备检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致，则认为该报文合法，将其转发给DHCP服务器；如果不一致，则丢弃该报文。 使能DHCP Snooping的MAC地址检查功能 * 1. 全局静态绑定表项 全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项，这类表项在设备的所有端口上生效，允许端口正常转发IP地址和MAC地址均与全局静态绑定表项匹配的报文，其它报文是否可以被正常转发由端口上配置的静态绑定表项来决定。全局静态绑定表项适用于防御主机仿冒攻击，可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。 2. 端口静态绑定表项 端口静态绑定是在端口上配置的绑定了IP地址、MAC地址以及相关组合的表项，这类表项仅在当前端口上生效。只有端口收到的报文的IP地址、MAC地址与端口上配置的绑定表项的各参数完全匹配时，报文才可以在该端口被正常转发，其它报文都不能被转发，该表项适用于检查端口上接入用户的合法性。 * 网络安全 学习目标 IMC智能管理中心 外部数据中心（WEB服务器) 用户修复区 补丁服务器 防病毒服务器 S7510E核心交换机+ SecBlade FW 内部数据中心 Internet H3C EX1000 存储系统 公安网监系统 H3C S5500-28F-EI H3C S5500-28F-EI H3C S5500-28F-EI H3C S5500-28F-EI H3C S5500-28F-EI H3C S5500-28F-EI WLAN无线控制器 POE交换机 千兆多模 万兆多模 100M/1000M电口 接入层安全 服务器安全 网络互访安全 DHCP 报文 协议报文 报文方向 作用 报文类型 DHCP Discover Client到Server 客户端发现服务器 广播 DHCP Offer Server到 Client 服务器对DHCP Discover报文的回应 广播或单播 DHCP Request Client到Server 服务器选择及租期更新 单播或广播 DHCP Ack/Nak Server到 Client 服务器对收到的请求报文的最终的确认 单播或广播 DHCP工作原理 谁能给我分配IP地址？ 我能给你分配IP地址10.0.0.2/24，以及网关、DNS地址等信息 好，我就用你分配的10.0.0.2/24 好，我确认！ DHCP Client DHCP Server TCP/IP DHCP安全 如何防止下联用户架设非法DHCP服务器 由于DHCP中继的存在，非法DHCP服务器和客户端在同一VLAN 客户端选择会选择非法DHCP服务器的IP地址 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 非法DHCP服务器 DHCP Discover 合法DHCP Offer E1/0/24 DHCP Discover DHCP Request 非法DHCP Offer DHCP Ack 如何防止非法DHCP架设？ DHCP SNOOPING 通过DHCPSNOOPING技术解决 开启全局的DHCP SNOOPING特性 将上连接口设置为信任接口 [Switch] dhcp-snooping [Switch-Ethernet-1/0/1]dhcp-snooping trust DHCP饿死攻击 DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文，向DHCP服务器申请大量的IP地址，导致DHCP服务器地址池中的地址耗尽，无法为合法的DHCP客户端分配IP地址，或导致DHCP服务器消耗过多的系统资源，无法处理正常业务。 防dhcp饿死命令 进入相应接口 开启mac地址检查功能 [Switch] i