DHCP服务安全的策略.docVIP

DHCP服务安全的策略 　　摘要：DHCP服务是一种非常重要的网络基础服务，在局域网中DHCP服务常常会受到DHCP Server仿冒者攻击和各种形式的DHCP DoS攻击，导致服务异常，影响用户正常使用网络。该文针对不同的DHCP攻击类型与不同的网络环境，分别制定了使用DHCP Snooping、ACL、端口隔离等技术防御DHCP安全威胁的方案。 　　关键词：DHCP；DHCP Snooping；ACL；端口隔离 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）26-0040-03 　　DHCP作为一种网络基础服务，它的安全会影响整个局域网的正常运行。目前很多局域网都使用路由器+交换机或三层交换机+二层交换机的架构?碜榻ǖ模?并且使用DHCP服务来管理分配IP地址。尽管DHCP提供了DHCP Snooping安全特性来保障DHCP服务的安全，但有些比较老的路由器和交换机不支持该特性。另外，局域网中的小路由器使用LAN口接入时，如果路由器开启DHCP服务，也会给正常的DHCP服务造成一定的干扰。还有局域网中开启VMware虚拟机，如果虚拟机以桥接的方式接入网络并开启DHCP服务的话，也会干扰原本网络中的DHCP服务。本文针对不同的网络环境，我们分别采取不同的安全措施，确保DHCP服务的稳定运行。 　　1 DHCP服务概述 　　1.1 DHCP协议及其作用 　　DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作。DHCP协议采用Client/Server模型，主机地址的动态分配任务由主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。DHCP主要使用UDP67和UDP68，分别作为DHCP Server和DHCP Client的服务端口。 　　DHCP主要有两个用途：一是给内部网络或网络服务供应商自动分配IP地址，二是给用户或者内部网络管理员作为对所有计算机作中央管理的手段。使用DHCP给我们带来很多好处，如不用人工记忆IP地址、节约IP地址、IP地址不会重复、不必担心在配置网络时输入错误地址等。 　　1.2 DHCP 的工作原理 　　使用 DHCP 分配IP地址时，局域网中至少有一台DHCP 服务器，DHCP客户端获取IP址的过程如图1所示。 　　（1） DHCP发现： DHCP客户端在局域网中发送DHCP DISCOVER广播包，寻找可用的DHCP服务器。 　　（2） DHCP提供：DHCP服务器向DHCP客户端发送DHCP OFFER单播数据包，提供一个IP租约。 　　（3） DHCP请求：当DHCP客户端收到一个IP租约提供时，会发送一个DHCP REQUEST广播包，告诉DHCP服务器接受了这个租约提供。 　　（4） DHCP确认：当DHCP服务器收到来自客户端的DHCP REQUEST消息后，发送DHCP ACK单播数据包，确认客户端的请求。 　　2 运用DHCP Snooping解决DHCP的安全问题 　　2.1 DHCP Snooping 的原理 　　DHCP Snooping 是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，通过截获DHCP Client 和DHCP Server 之间的DHCP 报文并进行分析处理，可以过滤不信任的DHCP 报文并建立和维护一个DHCP Snooping 绑定表。该绑定表包括MAC 地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。DHCP Snooping 通过记录DHCP Client 的IP 地址与MAC 地址的对应关系，保证合法用户能访问网络，作用相当于在DHCP Client 和DHCP Server 之间建立一道防火墙。 　　DHCP Snooping 可以解决设备应用DHCP 时遇到DHCP DoS攻击、DHCP Server 仿冒攻击、DHCP 仿冒续租报文攻击等问题。 　　2.2 DHCP Snooping配置 　　下面以华为交换机为列，介绍DHCP Snooping的配置，对抗不同类型的DCHP攻击。 　　表1为DHCP Snooping 工作模式与攻击类型。 　　2.2.1 使能DHCP Snooping 功能 　　使能DHCP Snooping 功能的顺序如下： 　　1） 全局使能DHCP 功能。 　　2） 全局使能DHCP Snooping 功能。 　　3） 在接口或VLAN 下使能DHCP Snooping 功能。 　　使