当前位置: 代码迷 >> 综合 >> DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令
  详细解决方案

DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令

热度:6   发布时间:2023-12-05 19:37:27.0

目录

一、DHCP欺骗泛洪攻击

(1)钓鱼网站简介:

(2)DNS的作用:

(3)DHCP中继技术简介:

(3-1)核心交换机DHCP配置命令:

(4)dhcp欺骗详解:

第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给pc1分配地址池

第二步:pc2充当DNS和DHCP 欺骗pc1

图解:

 二、如何防御及DHCP snooping配置命令

(一)开启DHCP SNOOPING之后的效果:

(二)、配置命令

配置:

观察PC2无法重新获取IP地址,原因是:

发现打上trust命令,PC2任然无法获取IP地址,为什么?

解决方案:

针对DHCP报文进行限速:每秒这个接口可以发送DHCP报文10个

手工定义扩展的CAM表:

基于源MAC和源IP地址的过滤


一、DHCP欺骗泛洪攻击

(1)钓鱼网站简介:

钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 [1]  。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

(2)DNS的作用:

把域名翻译为IP, 客户机向DNS服务器发送域名查询请求;DNS服务器告知客户机web服务器的IP地址,客户机与web服务器通信

(3)DHCP中继技术简介:

一般情况下,DHCP Server和DCHP Client都必须处于同一个网络中,这是因为DHCP的报文有些是以广播的形式发送,如果不位于同一个网络,则这些广播的报文就无法跨越三层路由设备传输。
而在有些情况下,DHCP服务必须跨越不同的网络,这时,我们就可以配置DHCP中继服务。
DHCP中继,其实就是在与DHCP Server不同而又需要申请DHCP服务的网络内,设置一个中继器,中继器在该网络中代替DHCP Server服务器接收DHCP Client的请求,并将DHCP Client发给DHCP Server的DCHP报文,以单播的形式发送给DHCP Server。DHCP Server在收到由DHCP发送来的DHCP 报文后,同样会把响应的DHCP报文发送给DHCP 中继。这样,DHCP其实是充当了一个中间人的作用,起到了在不同的网络中运行DHCP的目的。

(3-1)核心交换机DHCP配置命令:

interface Vlan 20ip address 192.168.20.254 255.255.255.0ip helper-address 192.168.10.1//将广播包变成单播单播包发给DHCP server
exit

(4)dhcp欺骗详解:

正常情况下:PC1通过DHCP Server获取到IP、网关、DNS,当PC1访问www.123.com的时候会首先会把域名202.99.96.68朝着DNS发送,然后DNS查询公网IP地址,把公网IP地址发给pc1,然后pc1会朝着100.1.1.1发起页面请求,正常访问Web服务器。

 黑客恶意行为目的:当PC1访问外网正常的服务器时,使其访问这个钓鱼网站窃取他人信息。

第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给pc1分配地址池

首先,DHCP Server 是根据不同的mac地址分配IP地址,基于这一特性,pc2作为恶意攻击者,会创建一个discover报文:

 discover报文到达核心交换机以后,经过核心交换机的中继路由,提交给DHCP Server服务器,然后服务器根据这个网关地址从自己众多地址池里,找到对应网段的地址池,给pc2分配IP地址。

每个mac分配一个ip,然而核心交换机关心的是处于discover报文里的mac地址。所以恶意攻击者可以伪造大量的discover报文在极短的时间内耗尽地址池(随机产生discover报文中的mac地址)

第二步:pc2充当DNS和DHCP 欺骗pc1

当全部耗尽以后,pc2可以充当DHCP和DNS(一般是在Linux系统里开启)

所以当pc1再次发送discover报文的话,pc2肯定可以收到,所以现在由pc2给pc1分配

 IP:192.168.20.1    网关:192.168.20.4    DNS:192.168.20.4     ,此时pc1发送的,上网流量、DNS请求都发给了pc2(pc2作为DNS会做一个映射:www.123.com对应公网IP地址为200.1.1.1)

所以当pc1访问www.123.com的时候会把域名发给pc2 做一个域名解析,而pc2做出的域名解析结果为200.1.1.1,200.1.1.1对应的是钓鱼网站,所以你在访问www.123.com时,实际访问的是钓鱼网站(你在钓鱼网站上输入的所有用户名、密码......黑客都可以窃取到)

注:当大量产生BPDU报文时,就造成了泛洪攻击

图解:

 二、如何防御及DHCP snooping配置命令

(一)开启DHCP SNOOPING之后的效果:

1、所有接口默认为untrust非信任状态,无法接受来自DHCP server的offea报文和ACK报文,除非把此接口置为trust信任接口

2、检查二层数据帧源MAC地址和discover里面的PC MAC地址是否匹配,如果不匹配则丢弃(但是如果黑客可以设计算法使这两个同步变化,则还可以在接口启用端口安全技术)

3、可以在接口下针对DHCP报文进行限速,防御黑客利用DHCP报文进行广播泛洪攻击

4、检查从PC收到的DHCP报文,如果PC发送的DHCP报文含有option 82(主要体现pc连接到那台交换机的哪个接口下)的话(违规行为)则丢弃此报文,因为只有交换机采用权限在DHCP报文里面插入option 82选项(交换机还会在discover报文里面插入对应VLAN的gateway ip地址)

5、检查是否有PC替代其他PC恶意退租IP地址(pc2发送恶意退租指令给DHCP server,让server回收pc1IP地址,所以当DHCP server给其他pc分配IP地址的时候,分配的是pc1的IP,则会形成IP地址冲突,导致不能上网),以及检查从这个接口收到的DHCP报文是否合乎DHCP的报文规矩

6、产生一张扩展的CAM地址表,用以其他的高级安全应用;这个IP分配给了那个MAC,这个MAC连接在我的那个接口,这个接口属于那个VLAN,这个IP地址的租期多少时间

(IP----MAC---接口---VLAN----租期)

(二)、配置命令

配置:

3560全局配置:

3560(config)#ip dhcp snooping  //全局开启

3560(config)#ipdhcp snooping vlan 100 //VLAN100启用

3550配置:

3550(config)#ipdhcp snooping  //全局开启

3550(config)#ipdhcp snooping vlan 100 //VLAN100启用

观察PC2无法重新获取IP地址,原因是:

两台交换启用了DHCP  snooping功能,默认启用此功能的交换机所有接口会拒绝接受来自DHCP serve的报文,需要把连接DHCP server的F0/2接口置为trust状态,可以接受offea和ACK报文

sw-3550(config)#int f0/2

sw-3550(config-if)#ip dhcp snooping trust

sw-3550(config-if)#exit

发现打上trust命令,PC2任然无法获取IP地址,为什么?

PC2发出discover报文,在经过3550的时候被插入了option 82选项,带有option82选项的报文传给3560的时候被拒绝接受

解决方案:

1、3550不插入option 82选项

sw-3550(config)#no ip dhcp snooping information option

2、3560允许option82选项从untruste接口进来

3560(config)#ip dhcp snooping information option allow-untrusted

针对DHCP报文进行限速:每秒这个接口可以发送DHCP报文10

sw-3550(config)#int f0/6

sw-3550(config-if)#ipdhcp snooping limit rate 10

sw-3550(config-if)#exit

手工定义扩展的CAM表:

Ip source binding  mac地址  VLAN ID  IP地址 接口

基于源MAC和源IP地址的过滤

Ip  dhcp  snooping

Ip  dhcp  snooping vlan 10

ip source binding 0001.0001.0001 vlan10 192.168.1.101 interface Fa0/7

Int f0/7

Switchport port-security(启用端口安全)

Ip verity source port-secuity

Exit

对从F0/7接口进入的报文,根据源IP地址和源MAC地址进行认证审查,是否满足扩展的CAM

以上仅个人观点,如有错误,还请指出!欢迎留言讨论!感谢! 

  相关解决方案