DHCP安全问题及其防范措施

word可自由复制编辑word可自由复制编辑DHCP安全问题及其防范措施摘要本文主要介绍计算机网络当中一个比较常见的安全问题—DHCP的安全问题。DHCP称作动态主机分配协议（DynamicHostConfigurationProtocol,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。DHCP用一台或一组DHCP服务器来管理网络参数的分配，这种方案具有容错性。即使在一个仅拥有少量机器的网络中，DHCP仍然是有用的，因为一台机器可以几乎不造成任何影响地被增加到本地网络中。甚至对于那些很少改变地址的服务器来说，DHCP仍然被建议用来设置它们的地址。如果服务器需要被重新分配地址（RFC2071）的时候，就可以在尽可能少的地方去做这些改动。对于一些设备，如路由器和防火墙，则不应使用DHCP。把TFTP或SSH服务器放在同一台运行DHCP的机器上也是有用的，目的是为了集中管理。DHCP也可用于直接为服务器和桌面计算机分配地址，并且通过一个PPP代理，也可为拨号及宽带主机，以及住宅NAT网关和路由器分配地址。DHCP一般不适用于使用在无边际路由器和DNS服务器上。DHCP安全问题在网络安全方面是一个不可忽略的问题，这种问题内部网络及网络服务提供商在分配IP地址造成的IP冲突、伪造DHCP服务器等攻击。本文介绍了如何防范和解决此类问题的方法和步骤。关键字：计算机、DHCP、安全问题、攻击DHCPsafetyandsafeguardsABSTRACTThispapermainlyintroducesthecomputernetworkofacommonsecurityproblemsandDHCPsafetyproblems.DHCPdynamicdistributionagreementcalledthemainframe（DynamichostconfigurationprotocolandDHCP）isaLANnetworkprotocols,theuseofUDPagreement,therearetwomajorpurpose：totheinternalnetworkornetworkserviceprovidertheIPaddressassignedtotheusertotheinternalnetworkadministratorinallcomputeronthecentraladministration.DHCPwithoneorasetofDHCPservertomanagethedistributionnetworkparameters,theschemehasafaulttolerance.Eveninasmallamountofthemachinehasanetwork,andDHCPisstilluseful,foramachinecanhardlyhaveanyinfluence,havebeenaddedtothelocalnetwork.EvenforthosewhorarelychangetheaddressoftheserverandDHCPstillbeingproposedtosettheaddress.Iftheserverneedstobereassignedaddress（rfc2071）,itcanbeasfewaspossibletodothesechanges.Forsomeequipment,suchastherouterandshouldnotbeusedDHCP.TheTFTPserverorSSHinwithaDHCPmachineisalsousefulinordertoadminister.DHCPmayalsodirectlytotheserveranddesktopcomputers,andtheassignmentofaddressesbyaPPPagentoradialing,andbroadbandhost,andthehouseassignmentofaddressesNATgatewayandroutersgenerallydonotapply.DHCPuseintheDNSservermarginalrouters.DHCPsecurityissuesinthenetworksecurityisnottoneglecttheissueoftheinternalnetworkandthenetworkserviceproviderintheallocationofIPaddressoftheconflictandDHCPserverIP,forgeryattack.Thisarticleexplainshowtopreventandresolvetheproblemofmethodsandprocedures.Keyword:Computer、DHCP、Safety、Attack目录摘要 IIABSTRACT III第一章 绪论 11.1概述 1第二章 应用技术 22.1DHCP应用技术 22.2技术优点 22.3应用场合 22.3.1DHCP服务欺骗攻击 32.3.2ARP“中间人”攻击 32.3.3IP/MAC欺骗攻击 42.3.4DHCP报文泛洪攻击 42.4应用限制 5第三章 特性介绍 53.1相关术语 53.2相关协议 63.3设备处理流程 63.3.1DHCPSnooping表项的建立与老化 63.3.2DHCPSnooping信任端口功能 73.3.3ARP入侵检测功能 83.3.4IP过滤功能 93.3.5DHCP报文限速功能 93.4DHCPSnooping与DHCPRelay安全机制比较 10第四章 典型组网案例 11结束语 12参考文献 12绪论1.1概述DHCP是DynamicHostConfigurationProtocol(动态主机配置协议)缩写，它的前身是BOOTP。BOOTP原本是用于无磁盘主机连接的网络上面的：网络主机使用BOOTROM而不是磁盘起动并连接上网络，BOOTP

则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与IP的对应是静态的。换而言之，BOOTP非常缺乏"动态性"，若在有限的IP资源环境中，BOOTP的一对一对应会造成非常可观的浪费。DHCP可以说是BOOTP的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOTP，DHCP透过"租约"的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP也完全照顾了BOOTPClient的需求。DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。应用技术2.1DHCP应用技术DHCP协议是在UDP和IP协议的基础上运行，有很多不安全因素。而且DHCP的运作机制中，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。例如，恶意用户冒充DHCP服务器，发放错误的IP地址、DNS服务器信息或默认网关信息，来实现流量的截取等等。交换机可以通过运行在网络层的DHCP中继的安全功能，或运行在数据链路层的DHCPSnooping功能来监听DHCP报文，记录服务器分配给客户端的IP地址等配置信息，并通过与交换机上其它功能模块的配合，提高整体网络的安全性。2.2技术优点DHCPSnooping是运行在二层接入设备上的一种DHCP安全特性。设备通过监听DHCP报文，过滤不可信任的DHCP信息；建立和维护DHCPSnooping表项，记录用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系，一般可以与其它功能模块配合使用，提高网络的安全性。DHCP中继运行在网络层，其安全功能与DHCPSnooping类似，同样是记录用户的MAC地址与IP地址的信息，一般与ARP功能模块配合使用，提高网络的安全性。2.3应用场合DHCP中继和DHCPSnooping的安全特性主要应用于接入层交换机上，实现常见二层网络攻击的防范。2.3.1DHCP服务欺骗攻击在DHCP工作过程中，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器，不仅会给网络造成混乱，也对网络安全造成很大威胁。这种网络中出现非法的DHCP服务器，通常分为两种情况：1、用户不小心配置的DHCP服务器，由此引起的网络混乱非常常见。2、黑客将正常的DHCP服务器的IP地址耗尽，然后冒充合法的DHCP服务器，为客户端分配IP地址等配置参数。例如黑客利用冒充的DHCP服务器，为用户分配一个经过修改的DNS服务器地址，在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站，骗取用户的账户和密码，这种攻击的危害是很大。为了防止DHCP服务欺骗攻击，交换机提供了"DHCPSnooping信任端口"特性，对DHCP服务器信息来源进行控制。只允许处理信任端口接收的DHCP响应报文，而非信任端口接收到的DHCP响应报文被交换机丢弃，防止DHCP客户端从网络中不可信任的DHCP服务器获取IP地址。2.3.2ARP“中间人”攻击按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。如图3所示，HostA和HostC通过Switch进行通信。此时，如果有黑客（HostB）想探听HostA和HostC之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，HostA和HostC之间看似"直接"的通信，实际上都是通过黑客所在的主机间接进行的，即HostB担当了"中间人"的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作"中间人（Man-In-The-Middle）攻击"。为了防止ARP中间人攻击，交换机提供了"ARP入侵检测"特性，根据动态获取的DHCPSnooping表项或静态配置的IP与MAC绑定表项，对非法ARP报文进行过滤，保证接入交换机只传递合法的ARP请求和应答信息。2.3.3IP/MAC欺骗攻击常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，黑客可以伪造报文的源地址进行攻击，其目的一般为伪造身份或者获取针对IP/MAC的特权，另外此方法也被应用与DOS（DenyofService,拒绝服务）攻击，严重的危害了网络安全。为了防止IP/MAC欺骗攻击，交换机提供了IP过滤特性，开启该功能后，减缓级可以强制经过某一端口流量的源地址符合动态获取的DHCPSnooping表项或静态配置的IP与MAC绑定表项的纪录，防止攻击者通过伪造源地址来实施攻击。此外，该功能也可以防止用户随便指定IP地址，造成的网络地址冲突等现象。2.3.4DHCP报文泛洪攻击DHCP报文泛洪攻击是指：恶意用户利用工具伪造大量DHCP请求报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源；另一方面，如果交换机上开启了DHCPSnooping功能，会将接受到的DHCP报文上传到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行，甚至会导致设备瘫痪。为了防止上述DHCP报文泛洪攻击，交换机提供了“DHCP报文限速”特性，使受到攻击的端口暂时关闭，来避免此类攻击对网络和服务器的冲击。2.4应用限制DHCP中继和DHCPSnooping的安全特性运行于不同的网络环境中，因此两者只需选择其一应用。在同一交换机上，DHCPSnooping的启动需以关闭DHCP中继为前提。为了使DHCP客户端通过DHCPSnooping设备从合法的DHCP服务器获取IP地址，必须将DHCPSnooping设备上与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。建议用户不要在交换机上同时配置DHCPSnooping功能和灵活QinQ功能。否侧可能导致DHCPSnooping功能无法正常使用。配置IP过滤功能之前，需要先开启交换机的DHCPSnooping功能，并配置信任端口。建议用户不要在汇聚组中的端口上配置IP过滤功能。如果交换机支持IRF功能，建议用户不要在Fabric端口上配置IP过滤功能。特性介绍3.1相关术语DHCPServer：DHCP服务器，为用户提供可用的IP地址等配置信息。DHCPClient：DHCP客户端，通过DHCP动态申请IP地址的用户。DHCPRelay：DHCP中继，用户跨网段申请IP地址时，实现DHCP报文的中继转发功能。DHCPSnooping：DHCP监听，纪录通过二层设备申请到IP地址的用户信息。DHCPSecurity：DHCP安全特性，实现合法用户IP地址表的管理功能。3.2相关协议RFC951：BootstrapProtocol(BOOTP)RFC1497：BOOTPVendorInformationExtensionsRFC1542：ClarificationsandExtensionsfortheBootstrapProtocolRFC2131：DynamicHostConfigurationProtocolRFC2132：DHCPOptionsandBOOTPVendorExtensionsRFC3046：DHCPRelayAgentInformationOption3.3设备处理流程3.3.1DHCPSnooping表项的建立与老化开启DHCPSnooping功能后，交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，H3C低端以太网交换机的DHCPSnooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息，如图4所示。为了对已经无用的DHCPSnooping动态表项进行定期进行老化删除，以节省系统的资源，和减少安全隐患，交换机支持根据客户端IP地址的租约对DHCPSnooping表项进行老化。具体实现过程为：当DHCPSnooping至少记录了一条正式表项时，交换机会启动20秒的租约定时器，即每隔20秒轮询一次DHCPSnooping表项，通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值，则说明该表项已经过期，将删除该条表项，从而实现DHCPSnooping动态表项的老化。需要注意的是：DHCPSnooping表项的老化功能有一定的局限性，当DHCP服务器端的租约设置为无限期或者很长时，会出现老化不及时的现象。3.3.2DHCPSnooping信任端口功能DHCPSnooping的信任端口功能所提供的是对于DHCP服务器信息来源的控制，此功能通过将不信任端口接收的DHCP响应报文丢弃，防止DHCP客户端从网络中不可信任的DHCP服务器获取IP地址。信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发，从而保证了DHCP客户端获取正确的IP地址。不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃，从而防止了DHCP客户端获得错误的IP地址。开启DHCPSnooping功能后，交换机上的所有端口默认被配置为非信任端口，此时从非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER报文都不会被交换机转发、也不会上送CPU处理；当某端口被配置为信任端口时，从该端口传入的DHCP-ACK、DHCP-NAK及DHCP-OFFER报文将被镜像至CPU处理。需要注意的是：目前交换机实现的DHCPSnooping功能是需要和DHCPSnooping信任端口功能配合使用的。启动DHCPSnooping功能后，为了使DHCP客户端能从合法的DHCP服务器获取IP地址，必须将与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。3.3.3ARP入侵检测功能1.ARP入侵检测功能工作机制为了防止ARP中间人攻击，H3C低端以太网交换机支持将收到的ARP（请求与回应）报文重定向到CPU，结合DHCPSnooping安全特性来判断ARP报文的合法性并进行处理，具体如下。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项一致，则为合法ARP报文，进行转发处理。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项不匹配或ARP报文的入端口，入端口所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项不一致，则为非法ARP报文，直接丢弃，并通过Debug打印出丢弃信息提示用户。2.手工配置IP静态绑定表项DHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCPSnooping表记录，因此不能通过基于DHCPSnooping表项的ARP入侵检测，导致用户无法正常访问外部网络。为了能够让这些拥有合法固定IP地址的用户访问网络，交换机支持手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便正常处理该用户的报文。3.ARP信任端口设置由于实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCPSnooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测。3.3.4IP过滤功能IP过滤功能是指交换机可以通过DHCPSnooping表项和手工配置的IP静态绑定表，对非法IP报文进行过滤的功能。在端口上开启该功能后，交换机首先下发ACL规则，丢弃除DHCP报文以外的所有IP报文。（同时，需要考虑DHCPSnooping信任端口功能是否启动。如果没有启动，则丢弃DHCP应答报文，否则，允许DHCP应答报文通过。）接着，下发ACL规则，允许源IP地址为DHCPSnooping表项或已经配置的IP静态绑定表项中的IP地