DHCP安全问题及其防范措施.docx

1、DHCP安全问题及其防范措施DHCP安全问题及其防范措施摘要本文主要介绍计算机网络当中一个比较常见的安全问题DHCP的安全问题。DHCP称作动态主机分配协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。DHCP用一台或一组DHCP服务器来管理网络参数的分配，这种方案具有容错性。即使在一个仅拥有少量机器的网络中，DHCP仍然是有用的，因为一台机器可以几乎不造成任何影响地被增加到本地网络中。甚至对于那些

2、很少改变地址的服务器来说，DHCP仍然被建议用来设置它们的地址。如果服务器需要被重新分配地址（RFC2071）的时候，就可以在尽可能少的地方去做这些改动。对于一些设备，如路由器和防火墙，则不应使用DHCP。把TFTP或SSH服务器放在同一台运行DHCP的机器上也是有用的，目的是为了集中管理。DHCP也可用于直接为服务器和桌面计算机分配地址，并且通过一个PPP代理，也可为拨号及宽带主机，以及住宅NAT网关和路由器分配地址。DHCP一般不适用于使用在无边际路由器和DNS服务器上。DHCP安全问题在网络安全方面是一个不可忽略的问题，这种问题内部网络及网络服务提供商在分配IP地址造成的IP冲突、伪造D

3、HCP服务器等攻击。本文介绍了如何防范和解决此类问题的方法和步骤。关键字：计算机、DHCP、安全问题、攻击DHCP safety and safeguardsABSTRACTThis paper mainly introduces the computer network of a common security problems and DHCP safety problems. DHCP dynamic distribution agreement called the mainframe （Dynamic host configuration protocol and DHCP ） is

4、 a LAN network protocols, the use of UDP agreement, there are two major purpose ： to the internal network or network service provider the IP address assigned to the user to the internal network administrator in all computer on the central administration.DHCP with one or a set of DHCP server to manag

5、e the distribution network parameters, the scheme has a fault tolerance. Even in a small amount of the machine has a network, and DHCP is still useful, for a machine can hardly have any influence, have been added to the local network. Even for those who rarely change the address of the server and DH

6、CP still being proposed to set the address. If the server needs to be reassigned address （ rfc2071 ）, it can be as few as possible to do these changes. For some equipment, such as the router and should not be used DHCP. The TFTP server or SSH in with a DHCP machine is also useful in order to adminis

7、ter.DHCP may also directly to the server and desktop computers, and the assignment of addresses by a PPP agent or a dialing, and broadband host, and the house assignment of addresses NAT gateway and routers generally do not apply. DHCP use in the DNS server marginal routers.DHCP security issues in t

8、he network security is not to neglect the issue of the internal network and the network service provider in the allocation of IP address of the conflict and DHCP server IP, forgery attack. This article explains how to prevent and resolve the problem of methods and procedures.Keyword: Computer、DHCP、S

9、afety、Attack目录摘要 IIABSTRACT III第一章 绪论 11.1概述 1第二章 应用技术 22.1 DHCP应用技术 22.2 技术优点 22.3 应用场合 22.3.1 DHCP服务欺骗攻击 32.3.2 ARP“中间人”攻击 32.3.3 IP/MAC欺骗攻击 42.3.4 DHCP报文泛洪攻击 42.4 应用限制 5第三章 特性介绍 53.1 相关术语 53.2 相关协议 63.3 设备处理流程 63.3.1 DHCP Snooping 表项的建立与老化 63.3.2 DHCP Snooping 信任端口功能 73.3.3 ARP入侵检测功能 83.3.4 IP 过滤

10、功能 93.3.5 DHCP 报文限速功能 93.4 DHCP Snooping与DHCP Relay安全机制比较 10第四章 典型组网案例 11结束语 12参考文献 12第一章 绪论1.1概述DHCP 是 Dynamic Host Configuration Protocol(动态主机配置协议)缩写，它的前身是 BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的：网络主机使用 BOOT ROM 而不是磁盘起动并连接上网络，BOOTP则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与 IP 的对应是静态的。换而言

11、之，BOOTP 非常缺乏 动态性 ，若在有限的 IP 资源环境中，BOOTP 的一对一对应会造成非常可观的浪费。 DHCP 可以说是 BOOTP 的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 租约 的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 也完全照顾了 BOOTP Client 的需求。 DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它

12、会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。第二章 应用技术2.1 DHCP应用技术DHCP协议是在UDP和IP协议的基础上运行，有很多不安全因素。而且DHCP的运作机制中，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器 将会给网络照成混乱。例如，恶意用户冒充DHCP服务器，发放错误的IP地址、 DNS服务器信息或默认网关信息，来实现流量的截取等等。交换机可以通过运行在网络层的DHCP中继的安全功能，或运行在数据链路层的DHCP Snooping功能来监听DHCP报文，记录服务器分配给客户端的IP地址等配置信息，并通过与交换机上其它功能模块的配合，

13、提高整体网络的安全性。2.2 技术优点DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。设备通过监听DHCP报文，过滤不可信任的DHCP信息；建立和维护DHCP Snooping表项，记录用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系，一般可以与其它功能模块配合使用，提高网络的安全性。 DHCP中继运行在网络层，其安全功能与DHCP Snooping类似，同样是记录用户的MAC地址与IP地址的信息，一般与ARP功能模块配合使用，提高网络的安全性。 2.3 应用场合 DHCP中继和DHCP Snooping的安全特性主要应用于接入层交换机上，实现常见二层

14、网络攻击的防范。 2.3.1 DHCP服务欺骗攻击在DHCP工作过程中，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器，不仅会给网络造成混乱，也对网络安全造成很大威胁。这种网络中出现非法的DHCP服务器，通常分为两种情况：1、用户不小心配置的DHCP服务器，由此引起的网络混乱非常常见。2、黑客将正常的DHCP服务器的IP地址耗尽，然后冒充合法的DHCP服务器，为客户端分配IP地址等配置参数。例如黑客利用冒充的DHCP服务器，为用户分配一个经过修改的DNS服务器地址，在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站，骗取用户的账户和密码，这种攻击的危害是很大

15、。 为了防止DHCP服务欺骗攻击，交换机提供了DHCP Snooping信任端口特性，对DHCP服务器信息来源进行控制。只允许处理信任端口接收的DHCP响应报文，而非信任端口接收到的DHCP响应报文被交换机丢弃，防止DHCP客户端从网络中不可信任的DHCP服务器获取IP地址。 2.3.2 ARP“中间人”攻击按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。如图3 所示，HostA和HostC通过Switch进行通信。此时，如果有黑客（H

16、ost B） 想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，HostA和HostC之间看似直接的通信，实际上都是通过黑客所在的主机间接进行的，即HostB担当了中间人的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作中间人（Man-In-The-Middle）攻击。 为了防止ARP中间人攻击，交换机提供了ARP入侵检测特性，根据动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项，对非法ARP报文进行过滤，保证接入交换机只传递合法的AR

17、P请求和应答信息。 2.3.3 IP/MAC欺骗攻击常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，黑客可以伪造报文的源地址进行攻击，其目的一般为伪造身份或者获取针对IP/MAC的特权，另外此方法也被应用与DOS（Deny of Service,拒绝服务）攻击，严重的危害了网络安全。为了防止IP/MAC欺骗攻击，交换机提供了IP过滤特性，开启该功能后，减缓级可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的纪录，防止攻击者通过伪造源地址来实施攻击。此外，该功能也可以防止用户随便指定IP地址，造成的网络地址冲突等现象。2.3.4

18、 DHCP报文泛洪攻击DHCP报文泛洪攻击是指：恶意用户利用工具伪造大量DHCP请求报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源；另一方面，如果交换机上开启了DHCP Snooping功能，会将接受到的DHCP报文上传到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行，甚至会导致设备瘫痪。为了防止上述DHCP报文泛洪攻击，交换机提供了“DHCP报文限速”特性，使受到攻击的端口暂时关闭，来避免此类攻击对网络和服务器的冲击。2.4 应用限制DHCP中继和DHCP Snooping 的安全特性运行于不同的网络环境中，因此两者只需选择其一应用。在同一交换机

19、上，DHCP Snooping的启动需以关闭DHCP中继为前提。为了使DHCP客户端通过DHCP Snooping 设备从合法的DHCP服务器获取IP地址，必须将DHCP Snooping 设备上与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。建议用户不要在交换机上同时配置DHCP Snooping 功能和灵活QinQ功能。否侧可能导致DHCP Snooping功能无法正常使用。 配置IP过滤功能之前，需要先开启交换机的DHCP Snooping功能，并配置信任端口。建议用户不要在汇聚组中的端口上配置IP过滤功能。如果交换机支持I

20、RF功能，建议用户不要在Fabric端口上配置IP过滤功能。第三章 特性介绍3.1 相关术语DHCP Server：DHCP 服务器，为用户提供可用的IP地址等配置信息。DHCP Client：DHCP 客户端，通过DHCP动态申请IP地址的用户。DHCP Relay： DHCP 中继，用户跨网段申请IP地址时，实现DHCP报文的中继转发功能。DHCP Snooping：DHCP监听，纪录通过二层设备申请到IP地址的用户信息。DHCP Security：DHCP安全特性，实现合法用户IP地址表的管理功能。3.2 相关协议RFC 951：Bootstrap Protocol (BOOTP) RF

21、C 1497：BOOTP Vendor Information Extensions RFC 1542：Clarifications and Extensions for the Bootstrap ProtocolRFC 2131：Dynamic Host Configuration Protocol RFC 2132：DHCP Options and BOOTP Vendor ExtensionsRFC 3046：DHCP Relay Agent Information Option 3.3 设备处理流程3.3.1 DHCP Snooping 表项的建立与老化开启DHCP Snooping

22、功能后，交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，H3C低端以太网交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息，如图4 所示。 为了对已经无用的DHCP Snooping动态表项进行定期进行老化删除，以节省系统的资源，和减少安全隐患，交换机支持根据客户端IP地址的租约对DHCP Snooping表项进行老化。具体实现过程为：当DHCP Snooping至少记录了一条正式表项时，交换机会启动20秒的租约定时器

23、，即每隔20秒轮询一次DHCP Snooping表项，通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值，则说明该表项已经过期，将删除该条表项，从而实现 DHCP Snooping动态表项的老化。需要注意的是：DHCP Snooping表项的老化功能有一定的局限性，当DHCP服务器端的租约设置为无限期或者很长时，会出现老化不及时的现象。3.3.2 DHCP Snooping 信任端口功能 DHCP Snooping的信任端口功能所提供的是对于DHCP服务器信息来源的控制，此功能通过将不信任端口接收的DHCP

24、响应报文丢弃，防止DHCP客户端从网络中不可信任的DHCP服务器获取IP地址。信任端口是与合法的 DHCP 服务器直接或间接连接的端口。信任端口对接收到的 DHCP 报文正常转发，从而保证了 DHCP 客户端获取正确的 IP 地址。不信任端口是不与合法的 DHCP 服务器连接的端口。如果从不信任端口接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文则会丢弃，从而防止了 DHCP 客户端获得错误的 IP 地址。开启DHCP Snooping功能后，交换机上的所有端口默认被配置为非信任端口，此时从非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER

25、报文都不会被交换机转发、也不会上送CPU处理；当某端口被配置为信任端口时，从该端口传入的 DHCP-ACK、DHCP-NAK及DHCP-OFFER报文将被镜像至CPU处理。需要注意的是：目前交换机实现的 DHCP Snooping功能是需要和DHCP Snooping信任端口功能配合使用的。启动 DHCP Snooping功能后，为了使DHCP客户端能从合法的DHCP服务器获取IP地址，必须将与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。3.3.3 ARP入侵检测功能 1. ARP入侵检测功能工作机制为了防止ARP中间人攻击，H

26、3C低端以太网交换机支持将收到的ARP（请求与回应）报文重定向到CPU，结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理，具体如下。当 ARP 报文中的源IP地址及源 MAC 地址的绑定关系与 DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN 与 DHCP Snooping 表项或者手工配置的 IP 静态绑定表项一致，则为合法 ARP 报文，进行转发处理。 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配或ARP报文的入端口，入端口所属VLAN与D

27、HCP Snooping表项或者手工配置的IP静态绑定表项不一致，则为非法ARP报文，直接丢弃，并通过Debug打印出丢弃信息提示用户。 2. 手工配置IP静态绑定表项 DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCP Snooping表记录，因此不能通过基于DHCP Snooping表项的ARP入侵检测，导致用户无法正常访问外部网络。为了能够让这些拥有合法固定IP地址的用户访问网络，交换机支持手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系

28、。以便正常处理该用户的报文。3. ARP 信任端口设置 由于实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。3.3.4 IP 过滤功能IP过滤功能是指交换机可以通过DHCP Snooping表项和手工配置的IP静态绑

29、定表，对非法IP报文进行过滤的功能。在端口上开启该功能后，交换机首先下发ACL规则，丢弃除DHCP报文以外的所有IP报文。（同时，需要考虑DHCP Snooping信任端口功能是否启动。如果没有启动，则丢弃DHCP应答报文，否则，允许DHCP应答报文通过。）接着，下发ACL规则，允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文通过。交换机对IP报文有两种过滤方式：根据报文中的源 IP 地址进行过滤。如果报文的源 IP 地址、接收报文的交换机端口号与 DHCP Snooping 动态表项或手工配置的 IP 静态绑定表项一致，则认为该报文是合法的报文，允

30、许其通过；否则认为是非法报文，直接丢弃。根据报文中的源 IP 地址和源 MAC 地址进行过滤。如果报文的源 IP 地址、源MAC 地址、接收报文的交换机端口号，与 DHCP Snooping 动态表项或手工配置的 IP 静态绑定表项一致，则认为该报文是合法的报文，允许其通过；否则认为是非法报文，直接丢弃。3.3.5 DHCP 报文限速功能为了防止DHCP报文泛洪攻击，H3C低端以太网交换机支持配置端口上对DHCP报文的限速功能。开启该功能后，交换机对每秒内该端口接收的DHCP报文数量进行统计，如果每秒收到的DHCP报文数量超过设定值，则认为该端口处于超速状态（即受到DHCP报文攻击）。此时，交

31、换机将关闭该端口，使其不再接收任何报文，从而避免设备受到大量DHCP报文攻击而瘫痪。同时，设备支持配置端口状态自动恢复功能，对于配置了报文限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。3.4 DHCP Snooping与DHCP Relay安全机制比较 第四章 典型组网案例如图7 所示，客户端分布在不同的区域，通过DHCP Snooping设备连接到DHCP中继设备，实现跨网段申请IP地址。为了提高安全性，在多台DHCP Snooping设备上开启DHCP Snooping信任端口、ARP入侵检测、IP过滤等功能，防范常见的二层网络攻击；同时为保证局域网内拥有固定IP地址的Host A、Host B可以正常访问外网，需要在DHCP Snooping设备上配置IP静态绑定表项。 结束语随着网络规模的扩大化和网络环境的复杂化，DHCP服务被应用到越来越多的网络环境中，DHCP特性解决方案可以为客户提供完善、灵活、便捷的组网。同时，基于DHCP中继和DHCP Snooping的安全特性也为接入层设备防止常见的二层攻击提供了解决方案。随着新的网络威胁不断涌现，我们需要加强对威胁DHCP安全的因素进行研究，设计出更好的防范与消除威胁的方案。