DHCP网络安全特性技术白皮书.docx

DHCP网络安全特性技术白皮书  关键词：DHCP，DHCP Server，DHCP Relay， DHCP Client，DHCP Snooping。 摘 要：本文主要介绍了基于DHCP Snooping的DHCP安全特性，包括其产生背景、应用及其在杭州华三通信技术有限公司（以下简称“H3C公司”）低端以太网交换机上的实现。并对比了基于DHCP中继和DHCP Snooping的安全机制的异同，有利于用户理解和选择不同的产品和功能。 缩略语清单： 缩略语 英文全名 中文解释 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 BOOTP Bootstrap Protocol 自举协议 ARP Address Resolution Protocol 地址解析协议 目 录 概述 3 技术应用背景 3 技术优点 4 应用场合 4 DHCP服务欺骗攻击 4 ARP“中间人”攻击 5 IP/MAC欺骗攻击 6 DHCP报文泛洪攻击 6 应用限制 7 特性介绍 7 相关术语 7 相关协议 7 设备处理流程 8 DHCP Snooping表项的建立与老化 8 DHCP Snooping信任端口功能 8 ARP入侵检测功能 9 IP过滤功能 11 DHCP报文限速功能 11 DHCP Snooping与DHCP Relay安全机制比较 12 典型组网案例 12 总结和展望 13 参考文献 13 7 附录 13 概述 DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是在BOOTP 协议基础上进行了优化和扩展而产生的一种网络配置协议。 InternetDHCP client Internet DHCP client Switch A (DHCP snooping) Switch B (DHCP relay) 图1 DHCP典型组网示意图 本文主要介绍基于DHCP Snooping技术的DHCP安全特性，主要包括其产生背景、应用及其在H3C低端以太网交换机的实现。并对比了基于DHCP中继和DHCP Snooping安全机制的异同，有利于用户理解和选择不同的产品和功能。 关于DHCP“客户/服务器”通信模式的实现原理，DHCP报文格式，以及H3C低端以太网交换机作为DHCP客户端、DHCP服务器和DHCP中继代理的工作过程请参见《DHCP基础实现技术白皮书》。 技术应用背景 DHCP协议是在UDP和IP协议的基础上运行，有很多不安全因素。而且DHCP的运作机制中，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。例如，恶意用户冒充DHCP服务器，发放错误的IP地址、DNS服务器信息或默认网关信息，来实现流量的截取等等。 针对网络中DHCP的不安全因素，杭州华三通信技术有限公司（以下简称“H3C公司”）开发了DHCP中继和DHCP Snooping的安全特性。交换机可以通过运行在网络层的DHCP中继的安全功能，或运行在数据链路层的DHCP Snooping功能来监听DHCP报文，记录服务器分配给客户端的IP地址等配置信息，并通过与交换机 上其它功能模块的配合，提高整体网络的安全性。 技术优点 DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。设备通过监听DHCP报文，过滤不可信任的DHCP信息；建立和维护DHCP Snooping表项，记录用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系，一般可以与其它功能模块配合使用，提高网络的安全性。 DHCP中继运行在网络层，其安全功能与DHCP Snooping类似，同样是记录用户的MAC地址与IP地址的信息，一般与ARP功能模块配合使用，提高网络的安全性。 应用场合 DHCP中继和DHCP Snooping的安全特性主要应用于接入层交换机上，实现常见二层网络攻击的防范。 表1 常见网络攻击和防范对照表 攻击类型 防范方法 DHCP 服务欺骗攻击 DHCP Snooping 功能、DHCP Snooping 信任端口功能 ARP“中间人攻击 DHCP Snooping 功能、ARP 入侵检测功能 IP/MAC 欺骗攻击 DHCP Snooping 功能、IP 过滤功能 DHCP 报文泛洪攻击 DHCP 报文限速功能 DHCP服务欺骗攻击 在DHCP工作过程中，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器，不仅会给网络造成混乱，也对网络安