【收藏】用户私自搭建伪服务器怎么办?禁它
DHCP Spoof Attacks
?
?
?
?
技術(shù)原理——讓三層交換機(jī)可以偵聽DHCP報(bào)文內(nèi)容,從而實(shí)現(xiàn)一系列安全特性,防御DHCP starvation和spoofing攻擊等等
1、Attacker hosts a rogue DHCP server off a switch port.
2、Client broadcasts a request for DHCP configuration information.
3、The rogue DHCP server responds before the legitimate DHCP server,assigning attacker-defined IP configuration information.
4、Host packets are redirected to the attacker's address as it emulates a default gateway for the erroneous DHCP address provided to the client.
網(wǎng)絡(luò)里面連接了一臺(tái)非法的DHCP服務(wù)器;
當(dāng)DHCP Client發(fā)送廣播報(bào)文去DHCP Server申請(qǐng)IP地址時(shí),非法DHCP服務(wù)器在合法的DHCP服務(wù)器響應(yīng)前回應(yīng)Client的請(qǐng)求,給Client分配一個(gè)非法的IP地址,并把網(wǎng)關(guān)指向自己;
當(dāng)Client要訪問其他網(wǎng)絡(luò)時(shí),流量被發(fā)往Attacker。
?
DHCP Snooping原理
?
?
?
?
?
DHCP Snooping詳解
?
?
?
?
在DHCP snooping環(huán)境中(部署在交換機(jī)上),我們將端口視為trust或untrust兩種安全級(jí)別,也就是信任或非信任接口。在交換機(jī)上,將連接合法DHCP服務(wù)器的接口配置為trust。只有trust接口上收到的來自DHCPserver的報(bào)文(如DHCPOFFER, DHCPACK, DHCPNAK, 或者DHCPLEASEQUERY)才會(huì)被放行,相反,在untrust接口上收到的來自DHCPserver的報(bào)文將被過濾掉,這樣一來就可以防止非法的DHCPserver接入。
技術(shù)要點(diǎn):
1、Trusted接口與Untrusted接口
啟用DHCP Snooping后,所有接口默認(rèn)是Untrusted接口,需手動(dòng)設(shè)置方可改為Trusted交換機(jī)Untrusted接口只允許接收DHCP discovery消息,不允許發(fā)出discovery消息;允許發(fā)送offer消息,不允許接收offer消息Trust接口,無任何限制,也不做任何檢測(cè)
?
——即,連接DHCP Server的接口和朝向DHCP Server的接口需要Trusted
?
DHC Prequests(discover)and responses(offer)are tracked.
Deny responses(offers)on untrusted interfaces to stop malicious or errant DHCP servers.
?
?
2.DHCP Snooping Binding表
開啟DHCP Snooping后會(huì)在交換機(jī)上建立一個(gè)綁定表,通過偵聽DHCP消息內(nèi)容,為每一個(gè)分配的IP建立一個(gè)表項(xiàng),其中包括客戶端的IP地址、MAC地址、端口號(hào)、VLAN編號(hào)、租期和綁定類型等信息。也可以手動(dòng)向這個(gè)綁定表中添加表項(xiàng)(該綁定表主要用于IP源保護(hù)和DAI)。這個(gè)DHCP snooping banding databse除了可以做一些基本的安全接入控制,還能夠用于DAI等防ARP欺騙的解決方案。
一臺(tái)支持DHCP snooping的交換機(jī),如果在其untrust接口上,收到來自下游交換機(jī)發(fā)送的、且?guī)в衞ption82的DHCP報(bào)文,則默認(rèn)的動(dòng)作是丟棄這些報(bào)文。如果該交換機(jī)開啟了DHCP snooping并且?guī)в衞ption82的DHCP報(bào)文是在trusted接口上收到的,則交換機(jī)接收這些報(bào)文,但是不會(huì)根據(jù)報(bào)文中包含的相關(guān)信息建立DHCP bingding databse表項(xiàng)。
為確保設(shè)備重啟后binding表不丟失,建議設(shè)置永久存儲(chǔ)
?
3.配置命令
ip dhcp snooping??!!
總開關(guān)
?
ip dhcp snooping vlan 10 ?!!
偵聽哪個(gè)VLAN
ip dhcp snooping database flash:dhcp.db ??!!
binding表寫入路徑,不設(shè)的話保存在內(nèi)存中
ip dhcp snooping trust ?!!
設(shè)置Trust接口
int e0/0
?ip dhcp snooping limit rate XX ??
//設(shè)定限速保護(hù)(pps)超出則err-disable端口
show ip dhcp snooping binding ?!!
查看綁定表
show ip dhcp snooping database
?
如果交換機(jī)確實(shí)通過一個(gè)untrust接口連接了下游交換機(jī),并且希望放行該接口收到的、下游交換機(jī)發(fā)送出來的帶有option82的DHCP報(bào)文,則可使用全局命令:ip dhcp snooping information option allow-untrusted,同時(shí)由于是通過untust接口收到的DHCP報(bào)文,因此會(huì)根據(jù)偵聽的結(jié)果創(chuàng)建DHCP snooping binding database表項(xiàng)。
總結(jié)
以上是生活随笔為你收集整理的【收藏】用户私自搭建伪服务器怎么办?禁它的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【干货】在Redis中设置了过期时间的K
- 下一篇: 带你了解2020年全新【思科专家级认证C