DHCP snooping、DHCP安全及威脅防范

[SW1]display dhcp snooping user-bind all，查看DHCP snooping表項。

DHCP snooping：

表項是通過服務器發(fā)送給客戶端的ACK報文生成的。

只能在交換機上開啟，路由器不支持，并且建議在接入交換機開啟（匯聚和核心交換機開啟沒有意義）

主要原理：當DHCP服務器給客戶端回復ACK報文時，會在交換機連接終端的接口生成snooping表項。

snooping表項包含：MAC地址，IP地址，接口編號，VLAN-ID，租期信息。

snooping表項的老化時間根據(jù)租期而定，同時如果終端發(fā)送釋放報文那么綁定表也會隨之刪除。

書簽-DHCP主要的攻擊方式：

一、DHCP餓死攻擊：攻擊者偽裝成主機向DHCP Server服務器請求IP分配，耗盡服務器的地址池地址，是的正常PC無法請求到可以使用的IP。

1、防御餓死攻擊：

可以通過開啟DHCP請求消息中數(shù)據(jù)鏈路層MAC地址和報文中CHADDR字段一致性檢查，如果不一致就會認為是攻擊，丟棄該報文。

[SW1]dhcp enable //首先，全局使能DHCP功能

[SW1]dhcp snooping enable //全局使能DHCP Snooping功能

[SW1-GigabitEthernet0/0/1]dhcp snooping enable //接口下使能DHCP snooping功能

[SW1-vlan1]dhcp snooping enable //在vlan視圖下使能DHCP snooping，即在該vlan下的所有接口都使能

[SW1-GigabitEthernet0/0/1]dhcp snooping check dhcp-chaddr enable //開啟chaddr一致性檢查

如何判斷發(fā)生了餓死攻擊：可以通過檢查DHCP服務器地址池分配是否存在異常來判斷是否發(fā)生了餓死攻擊！！！

防御變異的餓死攻擊：

對于攻擊者將幀源MAC和CHADDR的MAC同時修改的場景，一致性檢查無效，實際該場景沒有預防措施。

對于這種場景我們可以通過限制接口snooping表項數(shù)量來控制。

[SW1-GigabitEthernet0/0/1]dhcp snooping max-user-number 1~1024個；//限制該接口學習snooping表項的數(shù)量

2、DHCP客戶端偽造DHCP報文攻擊：

攻擊者仿冒合法用戶發(fā)送request報文續(xù)租IP導致IP無法被正?；厥?#xff0c;久而久之，將沒有空閑IP分配給合法終端；

攻擊者仿冒合法用戶發(fā)送release報文釋放IP地址，導致合法用戶異常下線。

[SW1-GigabitEthernet0/0/1]dhcp snooping check dhcp-request enable //開啟DHCP請求消息與綁定表匹配查詢。

3、非DHCP客戶端偽造DHCP報文攻擊：

[SW1-GigabitEthernet0/0/1]dhcp snooping sticky-mac，//開啟設備基于DHCP snooping表項粘滯功能的MAC地址表學習機制，默認關閉MAC地址表學習功能，且報文不予轉(zhuǎn)發(fā)。

功能相似：[SW1-GigabitEthernet0/0/1]mac-address learning disable action discard；

特別注意：一旦配置這條命令，這個接口就只能連接DHCP客戶端，對于靜態(tài)IP配置的終端無法進行通訊。

4、DHCP報文泛洪攻擊：

[SW1]DHCP snooping check dhcp-rate enable //全局開啟接口處理DHCP報文的頻率功能。用來防止PC一秒鐘發(fā)送成千上萬次的正常的DHCP請求

[SW1]dhcp snooping check dhcp-rate 1~100 //每秒鐘處理1~100和DHCP數(shù)據(jù)包

5、仿冒DHCP Server攻擊：

私接路由器等設備，成為假的DHCP Server給同網(wǎng)絡的終端分配地址。（交換機出來的網(wǎng)線接入到路由器LAN口，LAN口默認開啟了DHCP功能）

信任接口和非信任接口

啟用了DHCP snooping功能的交換機所有接口默認情況下都是非信任接口 該接口沒有snooping表項

????????5.1 非信任接口收到DHCP請求消息時，只轉(zhuǎn)發(fā)給信任接口。

??????????????非信任接口收到DHCP響應消息時，直接丟棄

????????5.2 信任接口收到了DHCP請求消息時，會轉(zhuǎn)發(fā)給其他的信任接口，如果沒有，將丟棄

??????????????信任接口收到了DHCP響應消息時，會發(fā)給非信任接口

[SW1-GigabitEthernet0/0/3]dhcp snooping trusted //將該接口配置為信任接口

6、DHCP中間人攻擊：

[SW1]arp dhcp-snooping-detect enable //全局開啟基于DHCP snooping綁定表的動態(tài)ARP檢測。