基于DHCP安全方案分析与研究.docVIP

基于DHCP安全方案分析与研究 　　摘要：本文根据DHCP本身所存在的安全漏洞威胁，研究DHCP技术及其安全性的问题。研究DHCP协议的漏洞，分析采用DHCP技术的网络中DHCP所面临的威胁。针对这些威胁产生的原因及对网络的危害程度和其危害原理，根据DHCP服务器工作的特点，联系实际，研究对应的方法和策略。 　　关键词：DHCP；安全漏洞 　　中图分类号：TP393文献标识码：A文章编号：1007-9599 (2010) 15-0000-02 　　DHCP-based Security Analysis and Research Program 　　Chen Kan 　　(Software Institute of Minjiang University,Fuzhou350011,China) 　　Abstract:According to the existing DHCP vulnerability itself the threat of DHCP technology and security issues.DHCP protocol vulnerability research,analysis techniques on a network using DHCP DHCP threats.The causes for these threats and the degree of harm to the network and the harm principle,according to the characteristics of the work of DHCP server,with practice,research methods and the corresponding strategies. 　　Keywords:DHCP;Security vulnerabilities 　　一、消除DHCP威胁结合的网络安全技术 　　根据DHCP服务器工作特点，结合威胁DHCP的因素和网络安全关键技术，提出消除DHCP网络威胁的对策：主动检测，检测MAC地址和消息认证。消除DHCP网络威胁的三种方法主要结合了网络入侵检测技术、访问控制技术和消息认证技术。 　　（一）网络入侵检测技术。网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应。网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析，及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接收受监控网络旁路过来的数据流。 　　（二）访问控制。访问控制是网络安全防范和保护的主要技术，决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计。 　　（三）认证技术。认证技术与保证通信的真实性有关。在单条消息的情况下，认证服务功能是向接收方保证消息来自所声称的发送方。对于正在进行的交互，就涉及两个方面。首先，在连接的初始化阶段，认证服务保证两个实体是可信的。其次，认证服务必须保证连接不受第三方如下方式的干扰：第三方能够伪装成为两个合法实体中的一个进行非授权传输或接收。 　　两个特殊的认证服务：（1）同等实体认证：为连接中的同等实体提供身份确认，用于连接的建立或数据传输阶段。（2）数据源认证：为数据的来源提供确认，但对数据的复制或修改不提供保护。 　　二、消除DHCP威胁的对策 　　（一）主动检测非法服务器。当网络中一个伪服务器建立后，对网络的危害是巨大的，可导致整个网络的瘫痪。网路管理员通常是检查导致网络瘫痪的各个细节，都一无所获。即使确定了网络中存在一个伪服务器，但在一个庞大的企业网中确定它的位置也是困难的。那么，与其等伪服务器破坏我们的网络，还不如建立网络入侵监测程序主动检测网络中是否有伪服务器的建立，对网络中的DHCP服务器的使用情况做到心中有数，尽早避免损失。 　　主动检测模块是一个主动检测非法服务器的功能，它可以配置在Client端，合法服务器端以及DHCP中继端。下面将以Client端配置主动检测非法服务器功能为例进行描述。主动检测模块主动向DHCP服务器发送DHCPDISCOVER消息。在收到客户端发出的DHCPDISCOVER消息后，无论是合法DHCP服务器还是伪服务器都会发出DHCPOFFER消息。这时主动检测模块不是选择一个DHCP服务器来为它配置地