DHCP安全问题及防范措施--精选文档

1、 DHCP安全问题及防范措施 摘 要：现代社会是一个被网络包围的社会，上网成为现代人的生活基本需求，网络也成为现代企业的基本生产工具之一。在这个大背景下，有限的IP网络地址资源分配成为制约网络信息发展的障碍，引入DHCP（动态主机配置协议）服务成为重要的解决手段，但是DHCP协议在安全上存在的漏洞使得在使用DHCP服务器为主机配置网络地址和参数时面临威胁。文章对这些DHCP安全问题和防范措施进行了探讨。 关键词：DHCP；安全问题；防范措施 中图分类号：TP393 文献标识码：A 文章编号：1006-8937（2014）8-0070-02 1 DHCP的安全问题 作为允许无盘工作站连接到网络并

2、使之自动获取一个IP地址的BOOTP协议的扩展之一，DHCP（动态主机分配协议）由两个基本部分组成，一部分是向网络主机传送专用的配置信息，一部分是给主机分配网络地址。DHCP技术很好解决了IP地址匮乏的现实问题，同时还解决了移动计算机迅速获取IP地址的技术难题，为网络信息的发展做出了重要的贡献。但是由于在设计DHCP时更多的考虑是网络连接的便利性，存在一定的安全漏洞，其中主要的有以下几种： DHCP在设计上不具有任何防御恶意主机的功能。随着带有DHCP功能家用路由器的大量使用，使用不当的话就可能将这些路由器转变为DHCP服务器，这些所谓的DHCP服务器可能对外发布虚假网关地址、IP地址池甚至是

3、错误的DNS服务器信息，如果这些非法DHCP指定的DNS服务器被蓄意修改，就有可能将用户引导到木马网站、虚假网站，盗窃用户账号和密码，威胁用户的信息安全。 DHCP与客户端相互之间没有认证机制，自身没有访问控制。由于DHCP可以方便的为网络中的新用户配置IP地址和参数，一个非法的客户可以通过伪装成合法的用户来申请IP地址和网络参数，避开网络安全检查，实现“盗用服务”，导致网内信息的泄露。另外，非法用户还可以通过“拒绝资源”攻击的方式，例如耗尽有效地址、CPU或者网络资源等，瘫痪蓄意攻击的网络。 DHCP在安全方面仅仅提供了有限的辅助工具来对分发的IP地址进行管理和维护，不具有将地址和用户联合起

4、来的复杂管理功能，使得网络管理员无法对IP冲突或者流氓IP地址进行有效、快速的认证和网络跟踪。 2 防范DHCP安全问题的防范措施 DHCP安全的威胁主要有三种，一是人为的无意失误，例如用户账号的无意识泄露；二是人为的恶意攻击，例如通过主动或者被动的攻击方式来获取网络信息的计算机犯罪行为等；三是网络软件的漏洞和“后门”。例如网络软件编程人员为了自便设置的“后门”被黑客察觉导致的信息泄露等。对DHCP安全问题的防范可以从以下三个方面来进行防范。 2.1 网络入侵检测 网络入侵检测（网络实时监控）技术利用专门的网络监控软件或者硬件对网络流量进行监控、分析、预警以及处理。有效的网络入侵检测部件通过对

5、网络上使用的各种网络协议进行分析，并和自身的网络入侵特征库进行对比，从而发现各种网络攻击行为。网络入侵检测部件对网络攻击行为的侧重点是发现，并不能预防，所以还存在一定的缺陷。 2.2 访问控制 通过对用户访问行为的控制，可以阻止未经允许的用户有意或者无意获取到被保护网段内的信息和数据。访问控制技术是网络安全防范保护的主要技术，它通过入网访问、网络权限设置、目录级以及属性控制等手段来决定谁可以访问系统以及系统的何种资源、对资源的使用方式等。 入网访问控制。入网访问控制是网络的第一层访问控制。一般分为三个步骤：登陆用户名的识别和验证、登陆用户的口令识别与验证、登陆用户账号的缺省限制检查。网络管理员

6、通过对用户账号的控制实现对用户访问特定网络的时间、方式的权限。 用户网络权限的控制。通过对用户或者用户组赋予一定的访问权限，例如对网络目录、子目录、文件以及其他资源的访问，对用户或者用户组进行分类管理，一是特殊用户，系统管理员；二是一般用户，按照实际需要分配操作权限；三是审计用户，对网络安全控制与资源使用进行审计的账户。 网络目录级的访问控制。网络通过控制用户对目录以及目录下的子目录和文件的创建、删除、修改、存取控制等权限，达到有效控制用户对服务器资源的访问权限，加强网络以及服务器的安全性。 网络属性的访问安全控制。属性安全控制是在权限安全控制上的进一步防范措施。属性设置可以覆盖任何已经指定的

7、受托着指派的有效权限。通过网络属性的安全控制可以保护重要目录和文件，避免文件或者目录的误删除、修改等。 网络服务器的访问控制。主要措施是设置口令密码对服务器控制台进行锁定，防止非法用户对重要信息和数据进行修改、删除、破坏；同时还可以设置服务器登陆的时间、方式以及服务器关闭的时间间隔。 网络的监测和锁定控制。对于非法用户试图进入网络的行为进行监测，并通过服务器发出图形、文字以及声音等形式的报警信息，对于非法访问的次数达到一定值是可以对该账号进行自动锁定。 2.3 DHCP与客户端的相互认证 DHCP协议在设计之初存在无法对消息和实体进行认证的缺陷，现在通过DHCP认证机制已经可以实现相互之间的认

8、证。DHCP消息认证机制在不改变原有DHCP协议的前提下，通过增加一个DHCP消息选项码来实现DHCP服务器与客户端之间的认证，另外，通过在选项码中定义不同的认证方法，使得消息认证的实用性、针对性更强，具有良好的扩展性。 在认证技术中采用的消息认证码，又称为MAC，它是通过假设通信双方共享密匙，并利用这个密匙通过不同的算法来生成一个固定长度的短数据块（MAC），发送消息的一方将消息和MAC一起发送给接收消息的一方，接收方用相同的密匙进行计算也得到一个MAC，通过两个MAC进行比对来验证消息的安全性。通过在DHCP服务器向客户主机分配IP地址时增加一个检查主机的MAC地址的过程，可以有效杜绝非法用户使用内部DHCP服务器登陆的可能。 3 结 语 DHCP技术较好的解决了IP地址资源匮乏以及移动计算机上网的IP地址分配问题，但在方便的同时也给网络带来了一些安全问题。通过加强网络入侵检测、网络访问控制以及建立起DHCP服务器与客户端之间的认证系统可以有效防范DHCP技术缺陷所可能引发的安全问题。 参考文献： 1 黄菊.