iSlot官方网站

无线新履历,不变如磐石 丨 高校关键场景高密无线优良实际分享会
date
预约直播
从此,无线可“磐石" 丨 iSlot官方网站磐石无线解决规划场景颁布会
date
预约直播
iSlot官方网站 - 引领潮水
产品
< 返回主菜单
产品中心
产品
解决规划
< 返回主菜单
解决规划中心
行业
合作同伴
返回主菜单
选择区域/说话
iSlot官方网站 - 引领潮水

您订阅的产品有更新,请实时查阅

查看详情
iSlot官方网站 - 引领潮水 iSlot官方网站 - 引领潮水

DHCP Snooping若何工作

DHCP Snooping作为通讯网络二层安全个性,可能显著提升网络安全机能。本文将首先介绍DHCP的工作过程,而后通过两种典型DHCP攻击案例来注明DHCP Snooping的根基工作道理以及若何预防网络攻击。

  • iSlot官方网站 - 引领潮水

    颁布功夫:2022-12-28

  • iSlot官方网站 - 引领潮水

    点击量:

  • iSlot官方网站 - 引领潮水

    点赞:

分享至

iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水

我想评论

1 什么是DHCP Snooping
DHCP Snooping也叫DHCP窥探,是一种常利用在二层接入设备的DHCP安全和谈,它通过监听DHCP报文来拦截局域网中不合法的DHCP流量,从而预防DHCP攻击,提升网络安全。部署了DHCP Snooping的设备可能实现以下作为:
过滤不受信端口的DHCP应答报文;
构建和守护DHCP Snooping绑定表,其中蕴含用户获取到的IP信息以及用户MAC地址、VID、PORT和租约功夫等信息;
通过与ARP检测职能或ARP Check职能共同使用,能够进一步实现节造用户合法使用IP地址的主张。
                                                                          
2 DHCP Snooping若何工作

2.1   DHCP工作道理

在介绍DHCP Snooping若何工作之前,先简要注明DHCP的工作机造。
DHCP是一个被宽泛利用的、为局域网内主机动态分配IP地址等沉要信息的和谈。一次DHCP和谈交互能够单一概括为如下4个步骤:
(1) DHCP客户端通过广播DHCP Discover报文来向局域网内的DHCP服务器要求服务。
(2) DHCP服务器凭据自身配置的IP地址池、相应的子网掩码和网关等信息,通过DHCP Offer报文应答客户端。
(3) 若接受DHCP Offer报文中的配置,DHCP客户端则广播DHCP Request报文以公告DHCP服务器和局域网内其他主机其生效的IP地址。
(4) 最后,服务器将会应答DHCP ACK报文给客户端进行最终确认。
如图2-1中,通过DHCP和谈交互,客户端从DHCP地址池中租用了IP地址10.0.0.11/24,并得知局域网内网关地址为10.0.0.1。那么,客户端后续的IP数据将发往网关10.0.0.1实现与广域网的通讯。
图2-1 DHCP和谈道理示意图
DHCP和谈道理示意图
                                                                                        

2.2   DHCP Snooping预防服务糊弄攻击

由于DHCP Discover/Request是广播报文,如果局域网中参与了攻击者,那么它便能够获取到网络内每一台主机的DHCP要求信息。通过批改IP地址或者网关等信息伪造DHCP Offer/ACK报文应答主机,来达到使用户无法上网或者窃取用户信息的主张,这种攻击方式被称为DHCP服务糊弄攻击。如图2-2,攻击者为了截获局域网内用户的流量,将自己本地的IP地址10.0.0.2作为虚伪网关地址,犯法应答客户端的DHCP要求。后续,客户端的IP数据包将会发往虚伪网关,造成信息泄露。若是攻击者在截获流量的同时对真实网关和客户端之间的数据进行转发,那么网络内受到攻击的主机将感触不到断网等网络异常,荫蔽性极强。
图2-2 DHCP糊弄攻击示意图
iSlot官方网站 - 引领潮水
                                                                                          
在设备上开启DHCP Snooping职能,把衔接可折服务器的端口设置为Trust口,其余皆为Untrust口,DHCP Snooping可能有效的预防上文所述的DHCP服务糊弄攻击。如图2-3,在Device A上开启DHCP Snooping职能,只有服务器的DHCP Offer/ACK报文可能通过Trust口投递客户端,攻击者设备由于衔接在Untrust口上,其发送的犯法DHCP Offer/ACK报文将不允许通过,从而保障客户端可能获得正确的网络配置,预防了信息泄露。
图2-3 DHCP Snooping预防DHCP糊弄攻击示意图
iSlot官方网站 - 引领潮水
                                                                                             

2.3   DHCP Snooping预防伪造报文攻击

除了仿冒DHCP服务器,攻击者还能仿冒DHCP客户端对DHCP服务器提议攻击。如图2-4,攻击者通过犯法截获DHCP客户端在局域网内广播的DHCP Discover报文获取其MAC地址,从而仿冒MAC伪造分歧的DHCP客户端向DHCP服务器大量发送犯法要求报文,使得DHCP服务器的IP地址池被亏损,甚至打劫网络内合法客户端的IP地址。一旦服务器的IP地址池被犯法要求耗空,网络内的其他合法主机将由于无法通过DHCP获得IP地址而断网。这种攻击方式被称为伪造DHCP报文攻击,也是一种典型的DoS攻击。
图2-4 伪造DHCP报文攻击示意图
iSlot官方网站 - 引领潮水
                                                                            
除了过滤Untrust口的犯法DHCP应答报文,DHCP Snooping通过进一步守护DHCP绑定表项来预防伪造报文攻击。DHCP绑定表项通过窥探合法DHCP报文来对客户端的MAC地址、IP地址租期、接标语和VLAN信息等成立起关联并且守护,从而对后续DHCP客户端要求报文进行过滤。如图2-5,在Device A上部署DHCP Snooping职能并将与客户端主机相连的接口设置为Untrust口。那么,所有通过Untrust口的DHCP要求报文将会首先进行DHCP绑定表项匹配。由于攻击者伪造的报文与Device A上守护的绑定表无法匹配,伪造报文将会被抛弃,从而有效阻止了这类攻击。
图2-5 DHCP Snooping预防伪造DHCP报文攻击示意图
iSlot官方网站 - 引领潮水
                                                                                            
3 结语
DHCP Snooping作为DHCP安全个性,除了能通过对Untrust口犯法DHCP流量的拦截以及绑定表的守护来预防DHCP服务糊弄攻击和伪造DHCP报文攻击表,还能通过与ARP和谈联动预防ARP入侵。由于DHCP和谈利用宽泛,为提升网络安全机能,在用户接入层部署支持DHCP Snooping个性的设备是极度必要的。
iSlot官方网站 - 引领潮水 iSlot官方网站 - 引领潮水

点赞

更多技术博文

任何必要,请联系iSlot官方网站

iSlot官方网站 - 引领潮水

返回顶部

收起
iSlot官方网站 - 引领潮水 文档AI副手
iSlot官方网站 - 引领潮水 文档评价
ev-close ev-close-m
该资料是否解决了您的问题?
ev-close ev-close-m
您对当前页面的中意度若何?
不咋滴
极度好
dark-star dark-star dark-star dark-star dark-star
ev-close ev-close-m
您中意的原因是(多。?
您对文档是否还有其它的问题或建议?
为尽快解决问题,请您留下联系方式以便回复
邮箱
手机号
ev-bg
感激您的反。
iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水
请选择服务项目
关关征询页
售前征询 售前征询
售前征询
售后服务 售后服务
售后服务
定见反馈 定见反馈
定见反馈
更多联系方式
【网站地图】