（计算机应用技术专业论文）基于snooping的安全dhcp系统研究与实现.pdf

摘要 摘要 动态主机配置协议在局域网环境中有广泛的应用，其主要优点是服务器动态 的分配l p 地址给客户端。在动态主机配置协议运行的网络中，服务器是完全被动的， 其动作行为只能由客户端的请求而激发，服务器无法主动控制客户端。因此服务 器和客户端之间缺乏交互性和安全性，这就是动态主机配置协议的致命缺点。这 些缺点导致非法服务器冒充，i p 地址耗尽等安全问题。目前提出的解决方案有如下 几种：m a c 地址认证，l a n a 系统，检测非法服务器等，也有一些安全性较高但 处理过程比较复杂的数据包认证方法。 本文在现有的一些防火墙技术和m a c 地址认证的基础上，提出一种新的过滤 非法数据包的方法一d h c p 窥探，是一种通过建立和维护d h c p 窥探绑定表，过 滤不可信任的d h c p 报文，从而保证网络安全的技术。d h c p 窥探处理模块对所有 收到的d h c p 数据报文进行过滤处理，丢弃不满足窥探安全规则的非法d h c p 数据 报文，正常转发合法的d h c p 数据报文。d h c p 协议位于计算机网络设备的第三层， 而d h c p 窥探位于第二层，所以d h c p 窥探对d h c p 协议本身及其实现没有影响。 接受数据报文时，d h c p 窥探处理模块捕获所有的d h c p 报文，经过过滤处理后， 上传给第三层的d h c p 模块，处理完后下发n - - 层的d h c p 窥探模块，d h c p 窥探 模块再转发到其他的交换机。d h c p 窥探就像是非信任的主机和d h c p j 务器之间 的防火墙，客户端或者防火墙连接在非信任端口，d h c p 服务器或者其他交换机连 接在信任端口。我们在z x r l 0 系列交换机上实验，能达至t j i p 网络安全的要求，易于 实现，效率较高。 关键词：动态主机配置协议窥探m a c 地址 a b s t r a c t a b s t r a c t d h c p ( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) i sw i d e l yu s e di nl a ne n v i r o n m e n t sf o rt h ea d v a n t a g eo ft h es e r v e rc a nd y n a m i c a l l ya s s i g ni pa d d r e s st ot h ec u s t o m e r i nt h ed h c pn e t w o r k , d h c ps e r v e ri s c o m p l e t e l yp a s s i v ea n di t sb e h a v i o ri so n l y s t i m u l a t e db yt h ec u s t o m e r ，t h es e r v e rc o u l dn o ta c t i v e l yc o n t r o lt h ec u s t o m e r t h e r e f o r e ， d h c pn e t w o r kh a ss o m ef a t a ls h o r t c o m i n g so fl a c k i n gi n t e r a c t i o na n ds e c u r i t yb e t w e e n t h es e r v e ra n dt h ec u s t o m e f ，w h i c hl e a d st os o m es e c u r i t yp r o b l e m si n c l u d i n gr o g u e d h c ps e r v e r ，e x h a u s t i o no fi pa d d r e s sa n ds oo n s e v e r a lk i n d so fs o l u t i o n sh a v eb e e n p r o p o s e da tp r e s e n t ：m a ca d d r e s sa u t h e n t i c a t i o n ，l a n as y s t e m ，i n s p e c t i o no fi l l e g a l s e r v e ra n ds oo n ，a n ds o m ed a t ap a c k e ta u t h e n t i c a t i o nm e t h o d sw i t hh i g hs e c u r i t ya l s o h a v eb e e np r o p o s e d , b u tt h ep r o c e s s i n gi sc o m p l e x i n t h i sp a p e rw ep r e s e n ta ni l l e g a ld a t ap a c k e tf i l t e r i n gm e t h o dc a l l e dd h c p s n o o p i n gb a s e do nf i r e w a ua n dm a ca d d r e s sa u t h e n t i c a t i o nt e c h n o l o g y , w h i c h g u a r a n t e e sn e t w o r ks e c u r i t yb yf i l t e r i n gu n t m s t yd a t ap a c k e t sw i t he s t a b l i s h i n ga n d m a i n t a i n i n gad h c ps n o o p i n gb i n d i n gt a b l e d h c ps n o o p i n gc a p t u r e sa l lt h ed h c p m e s s a g e sr e c e i v e d ，n o r m a l l yt r a n s m i t st h et r u s t ym e s s a g e sa n dd i s c a r d st h eu n t r u s t y m e s s a g e s d h c pw o r k si n t h et h i r dl a y e ro fc o m p u t e rn e t w o r k , w h i l et h ed h c p s n o o p i n gw o r k si nt h es e c o n dl a y e r , s ot h ed h c ps n o o p i n gh a v en oe f f e c tw i t ht h e d h c pa n di t sr e a l i z a t i o n d h c ps n o o p i n gf i l t e r sa l lt h ed h c pm e s s a g e sw h e n r e c e i v i n gd a t ap a c k e t s ，t h e ns e n d st h em e s s a g e st ot h et h i r dl a y e ro fd h c pm o d u l ef o r p r o c e s s i n g , a n dt h e nc a r r i e st h e mt ot h es e c o n dl a y e ro fd h c ps n o o p i n g , f i n a l l yd h c p s n o o p i n gm o d u l et r a n s m i t st h e mt oo t h e rs w i t c h e r s t h e n e t w o r km a c h i n e sc a n d i s t i n g u i s hu n t r u s t yi n t e r f a c ec o n n e c t e dt ot e r m i n a lh o s to rf i r e w a l lf r o mt r u s t yi n t e r f a c e c o n n e c t e dt od h c ps e r v e ro ro t h e rs w i t c h e r , w h i c hw o r k sl i k eaf i r e w a l lb e t w e e n u n t r u s t yh o s ta n dd h c ps e r v e r t h ep r o p o s e dm e t h o di se a s yt or e a l i z ea n dh a sh i 曲 e f f i c i e n c y , i na d d i t i o n ，w ed e s i g na na l g o r i t h mt om e e tt h ei pn e t w o r ks e c u r i t y r e q u i r e m e n t sa n d t e s ti ti nz x r l 0s e r i e ss w i t c h e r s k e yw o r d s ：d h c ps n o o p i n g m e d i aa c c e s sc o n t r o la d d r e s s 独创性( 或创新性) 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业 离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在 解密后遵守此规定) 本学位论文属于保密在一年解密后适用本授权书。 本人签名： 导师签名： 型 网 l ，= ：二； 瞄 日期塑z ：! 同期盘丕出 第一章绪论 第一章绪论 1 1d h c p 产生的背景 连接e l i i n t e m e t 的每台计算机需要在发送或接收数据报前知道其i p 地址，另外 计算机还需要其他信息，如路由器的地址，使用的子网掩码和名字服务器的地址。 b o o t p 协议1 7 1 ( b o o t s t r a pp r o t o c o l ) 是一种较早出现的远程启动的协 议。通过与远程服务器通信以获取通信所需的必要信息，主要用于无磁盘的客户 机从服务器得到自己的i p 地址、服务器的i p 地址、启动映象文件名、网关口等等。 b o o t p 协议使用t c p i p l l 0 】网络协议u d p 的6 7 6 8 通讯端口，b o o t p 设计用于相对 静态的环境，其中每台主机都有一个永久的网络连接。管理人员创建一个b o o t p 配置文件该文件定义了每台主机的一组b o o t p 参数，由于配置通常保持不变该文 件不会经常改变，典型情况下，配置将保持数星期不变。 随着网络规模的不断扩大，网络复杂度的不断提高，网络配置也变得越来越复 杂。在计算机经常移动，如便携机或无线网络和计算机的数量超过可分配的l p 地址 等情况下，原有针对静态主机配置的b o o t p 协议已经越来越不能满足实际需求。 为方便用户快速地接入和退出网络，提高i p 地址资源的利用率以及支持无盘网络工 作站等应用，需要在b 0 0 t p 基础上制定一种自动机制来进行i p 地址的分配。为处 理自动地址分配，l e ，r f 设计了一个新协议，即动态主机配置协议d h c p l l l l ( d y n a m i c h o s tc o n f i g u r a t i o np r o t o c 0 1 ) 。此协议从两种方式上扩充了b o o t p 。 首先，d h c p 可使计算机通过一个报文获取所需的全部配置信息。例如，d h c p 报文除能获取i p 地址外，还能获取子网掩码。 第二，d h c p 允许计算机快速动态的获取i p 地址，为使用d h c p 的动态地址分 配机制，管理员必须配置d h c p n 鼹务器，使其能提供一组l p 地址，称之为地址池。 任何时候一旦有新的计算机连接到网络上，该计算机就与服务器联系，并申请一 个i p 地址。服务器从配置的地址池中选择一个地址，并将它分配给该计算机。为做 到通用，d h c p 允许分配三种类型的地址。管理员可以选择d h c p 如何响应每个网 络或每台主机。首先，d h c p 允许手工配置。管理人员可以为特定的某台计算机配 置特定的地址：其次，d h c p 也允许自动配置，管理人员允许d h c p 服务器为第一 次上网的机器分配一个永久地址；同时，d h c p 允许完全动态分配，服务器可以使 计算机在一段有限时间内租用一个地址。 2 l p 网络中基于s n o o p i n g 的安全d h c p 系统 1 2d h c p 协议简介 d h c p 是d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l 的缩写，它的前身是b o o t p 。 d h c p 可以说是b o o t p 的增强版本。它分为两个部分：一个是服务器端，而另一 个是客户端。所有的i p 网路设定资料都由d h c p 服务器集中管理，并负责处理客户 端的d h c p 要求。而客户端则会使用从服务器分配下来的口环境资料。 d h c p 共有八种报文，服务器和客户端使用这些报文通信，这些报文分别为 d h c p d i s c o v e r 、d h c p o f f e r 、d h c p r e q u e s t 、d h c p a c k 、d h c p n a k 、 d h c p r e l e a s e 、d h c p d e c ij n ed h c p i n f o r m 。报文类型分析如下： 1 、d h c p d i s c o v e r 报文。d h c p 客户端请求地址时，并不知道d h c p 服务器 的位置，因此客户端会在本地网络内以广播的方式发送请求报文，这个报文称为 d i s c o v e r ，目的是发现网络中的d h c p j 3 艮务器，因为所有收到d l s c 0 v e r 报文 的服务器都会发送回应报文，客户端据此可以知道网络中存在的服务器的位置。 2 、d h c p o f f e r 报文。d h c p 服务器收到d i s c 0 r 报文后，就会在所配置 的地址池中查找一个合适的i p 地址，加上相应的租约期限和其他配置信息，如 g a t e w a yd n s 服务器等，构造一个o f f e r 报文，发送给用户，告知用户本服务 器可以为其提供i p 地址的分配。 3 、d h c p r e q u e s t 报文。d h c p 客户端可能会收到很多0 f f e r 。所以必须在 这些回应中选择一个，也就是选择一个服务器作为自己的目标服务器。客户端通 常选择第一个回应o f f e r ，报文的服务器作为自己的目标服务器，并回应一个 r e q u e s l 龊文，通知服务器它已经被选中。 4 、d h c p a c k 报文。d h c p j 艮务器收到r e q u e s t 报文后，根据r e q u e s 订提文 中携带的用户m a c 来查找有没有相应的租约记录，如果有则发送a c k 报文作为回 应。通知用户可以使用分配的i p 地址。 5 、d h c p n a k 报文。如果d h c p 服务器收至t r e q u e s 碳文后，没有发现有相 应的租约记录或者由于某些原因无法正常分配l p 地址，则发送n a k 报文作为回应， 通知用户无法分配合适i p 地址。 6 、d h c p r e l e a s e 报文。当用户不再需要使用分配的口地址时，就会主动向 d h c p 服务器发送d h c p r e l e a s e 报文，告知服务器用户不再需要分配的i p 地址。 服务器会释放被绑定的租约。 7 、d h c p d e c l i n e 报文。d h c p 客户端收到服务器回应的a c k 报文后，通过 地址冲突检测发现服务器分配的地址冲突或由于其它原因导致不能使用，则发送 d h c p d e c l l n e 报文，通知服务器所分配的i p 地址不可用。 8 、d h c p i n f o r m 报文。d h c p 客户端如果需要从服务器端获取更为详细的配 第一章绪论 3 置信息，则发送d h c p i n f o r m 报文向服务器进行请求，服务器收到该报文后，将 根据租约进行查找，找到相应的配置信息后，发送d h c p a c k 报文回应客户端。 d h c p 中继代理与d h c p 客户端和d h c p 服务器之间交互的d h c p 协议报文 使用同样的格式，如表1 1 所示。 表1 1d h c p 报文结构 操作硬件类型硬件地址长度 跳数 事务标识符 秒数 标志 客户l p 地址 你的l p 地址 服务器i p 地址 中继l p 地址 客户硬件地址( 1 6 八位组) 服务器主机名( 6 4 八位组) 自举文件名( 1 2 8 八位组) 选项( 变长) 报文的选项字段是变长的，客户端必须支持接受至少3 1 2 个八位组长度的选 项，也就是说客户端至少可以接受5 7 6 个八位组长度的i p 报文。重要的字段含义 介绍如下。 操作：0 表示为客户端请求 报文，1 为服务器响应报文。 标志：长度一个字节，仅最 左端有意义。如图1 1 所示。 客户端将标志字段高位置 1 ，表明请求服务器使用硬件广 图1 1n a g 标志位 播发送响应，而不用硬件单播。 置0 表示客户端可接受单播。所 有其它比特必须设置为0 。如果在客户端与服务器之间存在中继代理，也就是报文 中的中继i p 地址不等于0 ，此时服务器把将高位置1 ，让中继代理继续在子网内广 播回应报文，这是因为中继代理可能无法根据d h c p 报文动态修改a r p 3 9 1 表。 选项开始标记：四个八位组0 x 6 3 ，0 x 8 2 ，0 x 5 3 ，0 x 6 3 。 选项结束标记：0 x f f 。 硬件地址长度：系统目| ； 只对1 0 r o b 以太网支持硬件地址长度应该固定为6 。 跳数：客户端清0 ，d h c p 中继服务器在提供中继服务的时候使用。 事务标识符：一个由客户端软件产生的随机数用于识别请求和应答消息匹 4 p 网络中基于s n o o p i n g 的安全d h c p 系统 配。 秒数：客户进入m 地址申请进程的时间或者更新i p 地址进程的时间，由客户 端软件根据情况设定。 客户的口地址：只有在客户端处于b o u n d 、r e n e w 、r e b i n d i n g 的状态 下发送消息的时候才设置，可以用来响应a r p 协议。 你的i p 地址：由d h c p 服务器分配给客户端的口地址。 服务器的i p 地址：表明d h c p 协议流程的下一个阶段要使用的服务器的地址。 中继口地址：d h c p 中继器的i p 地址。 选项：除i p 地址之外的所有其他的子选项都放在这里。 1 3d h c p 工作原理 d h c p 协议中的通讯实体主要有三个：d h c p 客户端、d h c p 服务器和d h c p 中继。d h c p 的工作原理就是这三个通讯实体通讯的过程，这个过程就是客户端从 服务器得到可用的m 地址的过程，每个通讯实体完成自己的功能并协助其他通讯 实体完成整个d h c p 动态分配i p 地址功能。 1 3 1d h c p 客户端工作过程 d h c p 客户端是整个d h c p 活动的触发者和驱动者，通过d h c p 报文和服务 器进行交互，得到i p 地址和相关配置信息。d h c p 客户端的工作过程为： 1 1d h c p 客户端开始申请i p 地址时，发出广播的d i s c o v e r 报文，收到回 应的o f f e r 报文，然后发出广播的r e q u e s t 报文，收到回应的a c k 报文，这样就得到地址。 2 1 对服务器分配的i p 地址进行有效性检测，若分配的i p 地址不可用，例如 地址冲突等，则自动迁移到初始状态重新申请地址。 3 ) 到达续约时间后，租约的一半，发出单播的r e q u e s t 报文进行续约，如 收到a c k 后更新租约，如收到n a k 后，则重新发起申请过程。 钔如果单播的续约报文没有回应，到达重新绑定时间后租约的7 8 ，会发送 广播的续约报文。 5 1 客户端重启后不进行d i s c o v e r 的申请，而是直接发r e q u e s t 报文给 服务器。 6 1 客户端在进行申请地址时，报文中的请求p 地址( r e q u e s t e di p a d d r e s s ) 字段会填入之前使用过的i p 地址，如果这时服务器认为可以使用那么就 进行分配，如果该地址有人使用，服务器回应n a k ，客户端收到后重新 第一章绪论 5 进行申请该字段置空。 d h c p 客户端与d h c p 服务器之间透过d h c p 中继的正常的d h c p 协商过程 如图1 2 所示。 图1 2d h c p 交互图 客户端在没有获得口地址之前只能使用i p 有限广播地址广播最初的d h c p 请求，d h c p 服务器回应的时候也可能需要使用有限广播地址进行响应，这是因为 客户端尚未获得i p 地址的时候是无法响应d h c p 服务器的a r p 请求的。因此 d h c p 服务器有两种响应方案：或者广播响应，或者使用请求分组的信息专门在 a r p 高速缓存中添加一项。 d h c p 服务解决了b o o t p 服务存在的缺陷，相对于b o o t p 动态地址分配是 d h c p 最重要、最新颖的功能。第一，与b o o t p 所用的静态地址分配不同，动 态地址分配不是一对一的映射，而且服务器不需要预先知道客户的身份；第二， 而且d h c p 服务器可以配置成任一个机器都可以获取i p 地址并开始通信。因此 d h c p 使得设计自动配置的系统成为可能。一台计算机上网后，它使用d h c p 获 取一个口地址，然后配置其t c p i p 软件使用此地址。总之，由于d h c p 允许一 台主机无人干预即可获得通信所需的全部参数。所以d h c p 是允许自动配置的， 这些都是d h c p 优于b o o t p 的方面。 1 3 2d h c p 服务器功能 d h c p 服务器是d h c p 服务的提供者，它通过d h c p 报文与d h c p 客户端进 行交互。为各种类型的用户分配合适的i p 地址，并可以根据需要进行地址池和其 它网络参数的相关配置。d h c p 服务器实现的主要功能就是响应客户端的请求： 1 ) 创建和删除地址池。网络管理员在d h c p 服务器上创建地址池，当客户 6 l p 网络中基于s n o o p i n g 的安全d h c p 系统 端向服务器提出d h c p 请求的时候，服务器将从口地址池中取得空闲的 i p 地址以及其他的参数给客户端，一个服务器可能有一个或多个地址池， 创建地址池后还需要把这个地址池的其他必要参数都配置上才是可用的 地址池。d h c p 服务器可以配置网络地址池和主机地址池两种类型的地址 池。网络地址池用于为用户提供动态分配的i p 地址；主机地址池用于为 用户提供管理员静态绑定的口地址。网络地址池又可以分为地址池和接 口地址池，地址池可以为所有用户提供i p 地址分配；接口地址池只为本 虚接口下直连用户提供i p 地址的分配。 2 1 配置地址池的相关参数。系统可以对地址池配置d n s 、d o m a i nn a m e 、 w i n s 、n e t b i o s n o d e t y p e 等参数，用于客户端的网络配置。 3 ) 处理客户端发送来的d h c p 报文。d h c p 服务器共接收以下五种d h c p 报文：d h c p d i s c o v e r ；d h c p r e q u e s t ；d h c p d e c 删e ； d h c p r e l e a s e ：d h c p i n f o r m 。 1 - 3 3d h c p 中继功能 使用d h c p 协议，客户机可以向d h c p 服务器动态的请求配置信息，包括分 配的坤地址子网掩码、缺省网关等信息。然而，原始的d h c p 协议要求客户机和 服务器只能在同一个子网内，不可以跨网段工作。因此，为进行动态主机配置需 要在所有网段上都设置一个d h c p 服务器，这显然是不经济的。 d h c p 中继的引入解决了这一问题，它在处于不同网段间的d h c p 客户机和 服务器之间，承担中继服务，将d h c p 协议报文跨网段中继到目的d h c p 服务器于 是许多网络上的d h c p 客户机可以共同使用一个d h c p 服务器。 d h c p 协议是以客户服务器模式工作的，当d h c p 客户启动时，发送配置请 求报文，d h c p 中继收到该报文并适当处理后发送给指定的位于其它网络上的 d h c p 服务 器，服务器 根据客户提 供的必要信 息，再次通 过d h c p 中 继发送配置 信息给客户 机，完成对 图1 3d h c p 中继功能示意图 主机的动态 配置。 第一章绪论 7 d h c p 中继功能示意图如图1 3 所示。 d h c p 中继实现的主要功能为： 1 1 配置i p 辅助地址 用户通过命令行界面，在接口配置模式下，为接口配置l p 辅助地址，即 指明d h c p 服务器的i p 地址，在接口控制块中维护辅助地址信息，供d h c p 中继时使用，各接口可以配置多个i p 辅助地址，每个接口可配置的的i p 辅助 地址最大个数为2 0 ，可以根据具体产品需要调整该值，口辅助地址将被保存 在接口控制块中。 2 1 处理d h c p 中继报文 d h c p 中继代理不是对所有收到的d h c p 报文都作中继处理，在中继前 需要识别需要处理的d h c p 报文，需要强调的是，在服务器端如回应报文发 送给d h c p 中继，则回应报文目的端1 ：3 设为6 7 。d h c p 中继模块通过s o c k e t l l o l 收发d h c p 中继报文，从各接口接收的d h c p 协议报文，都是由s o c k e t 接收， 对d h c p 报文识别后，交由中继模块处理，通常d h c p 请求报文的源地址是 0 。d h c p 中继代理必须可以接收i p 源地址为0 的报文，只接收u d p 目的端 口号为6 7 的d h c p 报文。 3 1 处理请求报文 已识别的d h c p 报文，u d p 目的端口号为6 7 ，b o o t p 报文头中的选项 域是b 0 0 t r e q u e s t1 ，即d h c p 客户机发给服务器的请求报文，将已识别 的d h c p 报文发送到指定的d h c p 服务器，d h c p 客户机发出的请求报文， 一般目的地址为广播地址，目的端口号为6 7 d h c p 中继代理，需要将报文发 送至d h c p 服务器处理，d h c p 服务器由报文接收接口所配置的i p 辅助地址 来指定。 钔处理回应报文 从各接口收到的已识别的d h c p 报文u d p 目的端口号为6 7 ，且b o o t p 报文头中的选项域是b o o t r e p l y2 ，即d h c p 服务器希望通过中继代理发 给d h c p 客户机的回应报文，将己识别的d h c p 报文发送到指定的d h c p 客 户机。 d h c p 服务器发给中继的b o o t r e p l y 报文，一般目的地址为中继代理 在处理请求报文时设置的中继i p 选项域目的端口号为6 7 。d h c p 中继代理需 要将报文发送至d h c p 客户机处理，d h c p 客户机与报文的中继l p 选项域所 属的接口直连，通过该接口采用广播或单播方式发送至d h c p 客户机。当中继 知道客户端的路由时，就单播发送，当中继没有记录客户端的路由，就采用广 播的方式发送数据包。 8 p 网络中基于s n o o p i n g 的安全d h c p 系统 1 4d h c p 协议带来的安全问题 从1 3 节对d h c p 协议及其工作原理的介绍，可以看出，d h c p 协议是为了解 决b o o t p 协议的局限性，使计算机网络中的主机能动态分配到i p 地址给客户端， 使客户端正常通信而提出来的一种需求标准。在流行的w i n d o w s 操作系统中已 经支持这个协议，市场上也有很多建立d h c p 服务器的软件，但是随着计算机网 络用户数目指数增长和新的病毒软件的出现，这个协议带来的安全问题也是愈发 明显。目前发现对计算机网络威胁较大的安全问题有如下几种： 1 ) 非法d h c p 服务器的冒充 由于d h c p 的运作机制，通常服务器和客户端没有认证机制( 对d h c p 的认 证扩展已经存在，但应用最多的w i n d o w s 平台的d h c p 客户端和d h c p 服务 器却不支持) ，如果网络上存在多台d h c p 服务器将会给网络照成混乱。这种由 于用户不小心配置了d h c p 服务器引起的网络混乱非常常见，可见故意的人为破 坏是很简单。 最为隐蔽和危险的方法是利用冒充的d h c p 服务器，为用户分配一个经过修 改的d n s 服务器，在用户毫无察觉的情况下被引导在预先配置好的假金融网站 或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。 2 1d h c p 服务器d o s 攻击 通常是将d h c p 服务器所能分配的i p 地址耗尽，使服务器不能给其他合法 的客户端分配i p 地址。导致m 地址耗尽的方法有很多，最简单的方法就是编制软 件模拟大量客户端，不停地申请i p 地址，导致服务器砰地址耗尽，其他合法的客 户端不能再申请i p 地址。 3 ) 用户随意指定地址造成网络地址冲突 在部署d h c p 服务的子网中，用户随意指定的i p 地址、掩码和网关，而d h c p 服务器却仍然会有可能将该地址分配给其他主机，这样就会造成地址冲突，影响 合法的d h c p 用户网络访问，造成整个网络的混乱。 1 5 本文工作与结构 本论文对d h c p 协议在网络应用中存在的安全问题进行了研究分析，在目前 d h c p 系统的基础上，提出了一种基于窥探技术过滤非信任数据包的方法，解决目 前发现的d h c p 协议带来的安全问题，并根据这个方法设计了整个安全解决方案， 利用c 语言编写软件嵌入到交换机中，通过组网实验验证了该方法具有良好的安 全效果。 第一章绪论 9 具体章节的内容安排如下： 第一章介绍d h c p 协议的产生背景，简要介绍d h c p 协议组成及其工作原理， 它在计算机网络中应用及带来的安全问题。 第二章针对d h c p 协议在网络中的应用带来的安全问题，介绍目前几种主要 的解决方案：检测非法服务器；检查客户m a c 地址；l a n a 系统；s p i n a c h 系 统。并分析比较他们的优缺点和在新的网络技术下的局限性。 第三章针对d h c p 协议带来的安全问题，提出了一种基于窥探技术过滤非信 任数据包的方法，并分析其解决d h c p 安全问题的可行性。根据这个方法给出 d h c p 窥探技术的实现方案和详细设计，同时给出了d h c p 中继的详细设计。 第四章根据详细设计编写软件，编译并下载软件版本到在z x r l 0 系列交换 机上测试，验证这个方案的安全效果。组建d h c p 网络，综合测试并做出结论。 结束语为整个论文的工作总结，在简单回顾了论文工作的基础上，总结本论 文的主要研究成果及意义，同时也指出了研究工作中存在的不足和对一些问题的 看法。 1 0 l p 网络中基于s n o o p i n g 的安全d h c p 系统 第二章减少d h c p 安全威胁的方法 当d h c p 协议在计算机网络广泛应用时，其安全问题就愈发明显，d h c p 协议 本身不提供解决这些安全问题的方法。最好的解决这些安全问题的方法是修改 d h c p 协议本身，加入安全认证机制，由于根据d h c p 协议做成的软件产品已经 成型，在去修改d h c p 协议本身造价太大。目前，提出减少d h c p 安全威胁的方 法有：检测非法d h c p 服务器；检测客户m a c 地址；l a n a 系统；s p i n a c h 方 法。 2 1 检测非法d h c p 服务器 当网络中一个非法服务器建立后，对网络的危害是巨大的，可能会导致整个网 络的瘫痪。网管员通常是检查导致网络瘫痪的各个细节，却一无所获，很难想到 罪魁祸首是非法服务器。最后排除了各个原因，即使确定了网络中存在一个非法 服务器，但在一个庞大的企业网中确定它的位置也是困难的。一旦一个非法服务 器导致了网络的瘫痪，对企业来说，损失也是巨大的。所以要避免非法服务器的 建立。根据d h c p i 艮务器的工作原理结合网络安全的关键技术网络入侵检测 扫描技术，可以主动地检测网络中是否存在非法d h c p 服务器。在客户主机上增 加一个检测模块。此模块的检测原理及过程为： 1 1 客户主机保存能够为它提供配置的所有合法d h c p i 务器的标识； 检测模块间隔一定的时段向子网发送d i s c o v e r 消息； 3 1 在收到d h c p 服务器回答的o f f e r 消息后，检测模块解析收到的所有 o f f e r 消息中的d h c p 消息选项5 4 的值d h c p 服务器标识符，并 记录o f f e r 消息中的d h c p i 鼹务器标识； 钔检测模块存在一个判断函数来比较解析出的d h c p 服务器标识和保存的 合法d h c p 服务器标识，得出是否存在非法d h c p 服务器； 5 1 若存在非法d h c p 服务器，记录其标识( 一般为服务器的l p 地址) ，检 测模块以某种方式向网管员发送警告信息，例如向网管员发送e m a i l 。若 不存在，则继续检测。 第二章减少d h c p 安全威胁的方法 2 2 检查客户端m a c 地址 在企业网中，外部人员很容易通过无线网络来登陆企业内部网；在校园网或 者城市小区网中，经常遇到非法的用户在使用着网络服务。这都是d h c p 的工作 原理所固有的弊端。为了对非法用户进行有效的遏制，结合网络访问控制技术可 以在d h c p 服务器与客户主机交互的过程中增加一些限制条件。例如在d h c p 服务器向客户主机分配i p 地址时，增加检查主机m a c 地址的过程。如果客户 主机的m a c 地址是合法的，则分配，否则拒绝。这是因为在客户主机向d h c p 服务器申请i p 地址时，服务器可以在口数据包中解析出主机的m a c 地址，并 且m a c 地址是惟一的。详细的过程如下： 1 1d h c p 服务器中保存着所有合法用户的m a c 地址，称为m a c 地址池； 当服务器收到客户主机的d i s c o v e r 消息时，解析其m a c 地址； 3 ) 判断m a c 地址是否在m a c 地址池中。若在，继续下面的交互过程。 若不在，将为它分配一个虚假地址，让它去注册自己的m a c 地址； 们在注册m a c 地址时，要输入用户名和密码。因为若是合法用户，都会拥 有网管员或者i s p 提供商提供的账户信息。合法用户只能对应一个m a c 地址，当要修改已注册的m a c ，则与网管员或者i s p 提供商联系； 5 ) 新用户顺利地注册m a c 地址后，d h c p 服务器就将新的m a c 地址添 加到m a c 地址池中，下次申请网络地址时就畅通无阻了，而非法用户 就被拒之门外了。 2 3 l a n a 系统 这种系统解决安全问题的方法是：使用特殊的h u b 来进行存取控制，h u b 的 每个端口对应特定的d h c p 客户机，相当于绑定的机制。但是这就需要有特殊的 设备来参与进行安全管理，d h c p 网络的灵活性也受到了限制。 l a n a 基本原理是l a n a 编号，从编程角度思考，大家或许会觉得奇怪，传 送协议与n e t b i o s 如何对应起来呢? 答案便在于l a n 适配器( l a na d a p t e r l a n a ) 编号，它是我们理解n e t b i o s 的关键。在最初的n e t b i o s 实施方案中， 每张物理网卡都会分配到一个独一无二的值：即l a n a 编号。但到w i n 3 2 下，这 种做法便显得有些问题。因为对一个工作站来说，它完全可能同时安装了多种网 络协议，也可能安装了多张网卡。每个l a n a 编号对应于网卡及传输协议的唯一 组合。例如，假定某工作站安装了两张网卡，以及两种具有n e t b i o s 能力的传输 协议( 如t c p i p 和n e t b e u i ) ，那么总共就有四个l a n a 编号。 i p 网络中基于s n o o p i n g 的安全d h c p 系统 下面是一种对应关系的例子： 0t c p i 卜网卡1 1n e t b e u i - - 网卡1 2t c p i 】 一网卡2 3n e t b e u i - - 网卡2 通常，l a n a 编号的范围在0 到9 之间，除l a n a 0 之外，操作系统并不按 某种固定的顺序来分配这些编号。那么，l a n a0 有什么特殊含义呢? l a n a 0 代 表的是“默认”l a n a 。n e t b i o s 问世早期，许多应用都采用硬编码的形式，只依 赖l a n a0 进行工作。在那时，大多数操作系统也只支持个i a n a 编号。考虑 到向后兼容的目的。我们可将l a n a 0 人工分配给一种特定的协议。 要想设计出一个“健壮”的n e t b i o s 应用，必然需要让自己的代码能对任意 l a n a 编号上的连接进行控制。例如，假定小马编写了一个n e t b l o s 服务器应用， 对l a n a 2 上的客户机进行监听。在小马的机器( 即服务器) 上，l a n a 2 正好对 应于t l ：p i p 。后来，小张需要编写一个客户端应用，同小马的服务器通信，所以 他决定让自己的程序通过工作站的l a n a 2 建立连接。然而，小张工作站上的l a n a 2 对应于n e t b e u i 。这样一来，两个应用相互问均无法通信尽管两者都安装了 t c p 1 p 和n e t b e u i 。为纠正协议的这种差异，小马的服务器应用程序必须对小马 工作站上每个可能的l a n a 编号上的客户机连接进行“监听”。类似地，小张的客 户机应用程序需要针对本机每个可能的l a n a 编号，尝试在其上面的连接。只有 这样，小马和小张才能保证自己的应用尽最大可能成功通信。当然，尽管我们需 要在代码中对任何l a n a 编号上的连接进行控制，但并不表示能够百分之百地成 功。假如两台机器根本就没有安装一种共通的协议，那么无论如何都是不能成功 的。 2 4s p i n a c h 方法 除了用m a c 地址和特殊设备来进行安全控制之外，还可以使用用户认证的方 法来进行安全管理。s p i n a c h 就是在用户认证的基础上进行安全控制的方法。 s p l n a c h ( s e c u r e p u b l i c i n t e m e t a c c e s s h a n d l e r ) 在连接到公共端口的主机和部门 网络中的主机间建了一个所谓的“监测层”来控制网络中传输的数据。应用在 d h c p 中时，具体做法如下：在用户进行了身份认证之后，认证服务器给用户一个 叫做认证票( t i c k e t ) 的控制信息，用户再把认证票提交给适当的服务器以获取必 要的信息，比如，用户将认证票提交给路由器以连接到外部网络中。 第二章减少d h c p 安全威胁的方法 2 5 减少d h c p 威胁几种方法的比较 l 、检测非法服务器：这种方法可以降低非法服务器对网络的破坏程度，这是 由检测的间隔时段长度来决定。但是因为客户主机在向d h c p 服务器申请网络地 址和参数时，发送d i s c o v e r 消息是广播方式，检测模块应该在每一个物理子 网内部署；并且确定合适的检测间隔时段的长度是困难的；最后即使网络中存在 检测模块，但还是不能完全防止非法服务器的运行；客户端加入这个检测模块后 会定期向子网发送数据包，加重了网络的处理负担，而且客户端的操作系统目前 也不支持。 2 、检查客户m a c 地址：这种方法可以部分地减少初级非法用户的侵入。但 是当非法用户修改其m a c 地址