《计算机网络安全防护技术（第二版）》 课件 第5章 任务5.3 Dhcp攻击与Dhcp snooping防护

第5章局域网安全技术编著：

秦燊劳翠金

任务5.3Dhcp攻击与Dhcp

snooping防护任务5.3Dhcp攻击与Dhcp

snooping防护

DHCP服务器的主要任务是接受客户机的请求，为客户机分配IP地址、网关地址、DNS服务器地址等信息。不考虑DHCP中继代理的情况，DHCP服务的具体过程是：客户机通过广播的方式发送DHCPDiscover请求，在局域网中查找DHCP服务器，向服务器申请IP地址等信息，如果局域网中存在多台DHCP服务器，则每台服务器都会从自己的地址池中取出一个IP地址，向客户机回应。

局域网中DHCP攻击的做法是：攻击者先不断向DHCP服务器申请IP地址，等DHCP服务器所有可分配的IP地址被耗尽后，再启用恶意DHCP服务器，给客户机分配恶意网关或恶意DNS服务器地址等恶意地址。若客户机获取到的网关是由攻击者控制的恶意网关，攻击者就可以以中间人的身份进行抓包截获受害者通过网络传输的信息；若客户机获取到的是DNS指向攻击者控制的恶意DNS服务器，则攻击者可通过恶意DNS服务器引导客户访问钓鱼网站，窃取客户的帐号密码等信息。5.3.1DHCP攻击一、发动攻击，耗尽服务器的可分配地址攻击者通过kalilinux发动攻击，不断发送申请地址的请求，耗尽服务器能分配的所有IP地址，导致正常客户机无法获取地址。1.客户机释放IP地址C:\DocumentsandSettings\Administrator>ipconfig/releaseWindowsIPConfigurationEthernetadapter本地连接:Connection-specificDNSSuffix.:IPAddress............:SubnetMask...........:DefaultGateway.........:C:\DocumentsandSettings\Administrator>2.如图5-3-1所示，在DHCP服务器上，查看作用域的统计信息。3.kalilinux发动攻击，耗尽服务器能分配的所有地址。root@kali:~#pig.pyeth04.如图5-3-2所示，在DHCP服务器上，再次查看作用域的统计信息。图5-3-1作用域的统计信息图5-3-2再次查看作用域的统计信息二、启用恶意DHCP服务器，该服务器将分配给客户的网关指向kalilinux。1.如图5-3-3所示，分配的地址范围是0-0。图5-3-3恶意DHCP服务器的地址池2.如图5-3-4所示，分配的网关指向攻击的的KaliLinux，地址是1。图5-3-4DNS作用域选项三、kalilinux暂时打开路由功能root@kali:~#echo1>/proc/sys/net/ipv4/ip_forward四、将默认路由指向541.查看路由表。root@kali:~#route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface54UG000eth0U000eth02.若默认路由不是54，则将默认路由指向54。root@kali:~#vim/etc/network/interfacesgateway54root@kali:~#/etc/init.d/networkingrestart五、在客户机上，重新获取IP地址。C:\DocumentsandSettings\Administrator>ipconfig/renewWindowsIPConfigurationEthernetadapter本地连接:Connection-specificDNSSuffix.:IPAddress............:0SubnetMask...........:DefaultGateway.........:1六、在kalilinux上抓包，当客户机从恶意DHCP服务器获取地址后，ping时，由于数据经假冒网关转发，所以在KaliLinux上可以抓包看到。1.在KaliLinux上运行Wireshark，开始抓包。若运行Wireshark时，出现错误提示：Lua:Errorduringloading:[string"/usr/share/wireshark/init.lua"]:44:dofilehasbeendisabledduetorunningWiresharkassuperuser.1）可修改/usr/share/wireshark/init.lua文件：root@kali:~#vim/usr/share/wireshark/init.lua将倒数第二行：dofile(DATA_DIR.."console.lua")改为：--dofile(DATA_DIR.."console.lua")2）重新运行Wireshark。2.在客户机win3上，ping，由于数据经攻击者控制的假冒网关（KaliLinux）转发，所以如图5-3-5所示，在KaliLinux上可以抓包看到。图5-3-5KaliLinux抓包结果5.3.2DHCPSnooping技术通过DHCPSnooping技术，可实现对DHCP攻击的防御。一、因为涉及DHCP的租用时间，所以要先设置好时间：Switch>enSwitch#conftSwitch(config)#clocktimezoneGMT+8Switch(config)#exitSwitch#clockset9:40:0023aug2018Switch#showclock09:40:34.205GMTThuAug232018二、DHCPSnooping技术将交换机端口分为两类：信任端口和非信任端口。端口被指派为信任端口后，可发送所有的DHCP包，对外分配IP地址。正规的DHCP服务器所连接的端口，应指派为信任端口。非信任端口，只能发送DHCP的请求包，如DHCPDiscover和DHCPRequest包；不能发送用于分配IP地址的DHCP包，如DHCPOFFER和DHCPACK包。因此，非信任端口就算连接了DHCP服务器，也无法对外提供分配IP地址的DHCP服务。除了连接正规DHCP服务器的端口应指派为信任端口外，其它端口应作为非信任端口。三、DCHPSnooping的配置方法如下：1.通过命令全局激活DHCPsnooping特性。全局激活DHCPsnooping特性后，DHCPsnooping并不立即生效，直到在特定VLAN中激活才会真正生效。激活DHCPSnooping的方法如下:Switch(config)#ipdhcpsnooping2.DHCPSnooping的相关信息可临时存储在内存中，也可存储到数据库中。DHCPSnooping的相关信息主要有DHCP的租用时间、客户端的MAC地址、IP地址、所属vlan、所连的交换机端口等。这些信息除了用在DHCPSnooping上，还可用于对ARP攻击的防控。可用命令指定DHCPSnooping数据库存放的位置，用于存储DHCPSnooping的相关信息，如果不指定存放位置，则这些信息会临时存储在内存中。指定DHCPSnooping数据库存放位置的命令是：Switch(config)#ipdhcpsnoopingdatabaseflash:/snooping.db3.将连接合法DHCP服务器的端口设置为Trust：Switch(config)#intg0/0Switch(config-if)#ipdhcpsnoopingtrustSwitch(config-if)#exit4.对非信任端口进行DHCP限速，每秒DHCP包的数量不能超过限制，用于防止DoS攻击：Switch(config)#intrangeg0/1-3,g1/0Switch(config-if-range)#ipdhcpsnoopinglimitrate5Switch(config-if-range)#exit5.在VLAN中激活DHCPsnooping：Switch(config)#ipdhcpsnoopingvlan1Switch(config)#end6.查看命令是：Switch#showipdhcpsnoopingbindingSwitch#showipd