DHCP Snooping 安全机制应用

admin

DHCP Snooping 是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，通过截获DHCP Client 和DHCP Server 之间的DHCP 报文并进行分析处理，可以过滤不信任的DHCP 报文并建立和维护一个DHCP Snooping 绑定表。该绑定表包括MAC 地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。DHCP Snooping 通过记录DHCP Client 的IP 地址与MAC 地址的对应关系，保证合法用户能访问网络，作用相当于在DHCP Client 和DHCP Server 之间建立一道防火墙。DHCP Snooping 可以解决设备应用DHCP 时遇到DHCP DoS（Denial of Service）攻击、DHCP Server 仿冒攻击、DHCP 仿冒续租报文攻击等问题。
下面介绍下DHCP Snooping四种应用场景。（以下命令华为交换机为例）

1、 DHCP server仿冒者攻击

在全局使能DHCP Snooping 功能之后，必须在接口或VLAN 下使能（本例vlan下使能，接口略）[swa]dhcp snooping enable（全局使能dhcp snooping）
[swa-vlan10]dhcp snooping enable(vlan10 下使能dhcp snooping)
[swa-vlan10] dhcp snooping trusted interface Ethernet 0/0/0（配置接口为信任状态）
2、 防止攻击者通过改变CHADDR 值攻击DHCP Server

如果攻击者改变的不是数据帧头部的源MAC，而是通过改变DHCP 报文中的CHADDR（Client Hardware Address）值来不断申请IP 地址，而交换机仅根据数据帧头部的源MAC来判断该报文是否合法，那么MAC 地址限制不能完全起作用，这样的攻击报文还是可以被正常转发。为了避免受到攻击者改变CHADDR 值的攻击，可以在交换机上配置DHCP Snooping 功能，检查DHCP Request 报文中CHADDR 字段。如果该字段跟数据帧头部的源MAC 相匹配，转发报文；否则，丢弃报文。
把DHCP Request 报文中携带的CHADDR 字段与以太帧中的源MAC 值相比较，如果不相同则认为是攻击报文，直接丢弃该报文。
华为交换机使用命令：
dhcp snooping check dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr enable 3、 防止攻击者通过仿冒DHCP 续租报文攻击DHCP Server

如果攻击者通过不断发送DHCP Request 报文来冒充用户续租IP 地址，会导致一些到期的IP 地址无法正常回收。为了避免攻击者仿冒DHCP 续租报文进行攻击，可以在交换机上配置绑定表，检查DHCP Request 报文的源IP 地址、源MAC 地址、VLAN 及接口是否与绑定表中的匹配，如果找到匹配的表项，则DHCP Request 报文被正常转发。否则，报文被丢弃。
对DHCP Request 报文的检查规则如下：1. 首先检查报文的目的MAC 是否是全f，如果是则认为是第一次上线的DHCP Request广播报文，直接通过；如果报文的目的MAC 不是全f，则认为是续租报文，根据绑定表进行检查；

2、检查报文中的CHADDR 是否命中绑定表，如果没有命中，则认为是第一次上线，
直接通过；如果CHADDR 命中绑定表，则继续检查报文中的VLAN、IP、接口信息是否均和绑定表匹配，完全匹配通过，否则丢弃。
对DHCP 用户，使能DHCP Snooping 功能后会自动生成绑定表；对静态分配IP 地的
用户，需要手工配置静态绑定表。
执行命令：
dhcp snooping check dhcp-request enable
dhcp snooping alarm dhcp-request enable 4、 配置DHCP Snooping 用户数限制

为了抑制用户恶意申请IP 地址，可配置限制用户数的功能。当用户数达到配置的最大用户数限制数量，任何用户将无法成功申请到IP 地址。
执行命令：dhcp snooping max-user-number max-user-number，配置接口或VLAN 下允许接入的最大用户数。

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。