DHCP Spoof Attacks

?

?

?

?

技術原理——讓三層交換機可以偵聽DHCP報文內容，從而實現一系列安全特性，防御DHCP starvation和spoofing攻擊等等

1、Attacker hosts a rogue DHCP server off a switch port.

2、Client broadcasts a request for DHCP configuration information.

3、The rogue DHCP server responds before the legitimate DHCP server,assigning attacker-defined IP configuration information.

4、Host packets are redirected to the attacker's address as it emulates a default gateway for the erroneous DHCP address provided to the client.

網絡里面連接了一臺非法的DHCP服務器；

當DHCP Client發送廣播報文去DHCP Server申請IP地址時，非法DHCP服務器在合法的DHCP服務器響應前回應Client的請求，給Client分配一個非法的IP地址，并把網關指向自己；

當Client要訪問其他網絡時，流量被發往Attacker。

?

DHCP Snooping原理

?

?

?

?

?

DHCP Snooping詳解

?

?

?

?

在DHCP snooping環境中（部署在交換機上），我們將端口視為trust或untrust兩種安全級別，也就是信任或非信任接口。在交換機上，將連接合法DHCP服務器的接口配置為trust。只有trust接口上收到的來自DHCPserver的報文（如DHCPOFFER, DHCPACK, DHCPNAK, 或者DHCPLEASEQUERY）才會被放行，相反，在untrust接口上收到的來自DHCPserver的報文將被過濾掉，這樣一來就可以防止非法的DHCPserver接入。

技術要點：

1、Trusted接口與Untrusted接口

啟用DHCP Snooping后，所有接口默認是Untrusted接口，需手動設置方可改為Trusted交換機Untrusted接口只允許接收DHCP discovery消息，不允許發出discovery消息；允許發送offer消息，不允許接收offer消息Trust接口，無任何限制，也不做任何檢測

?

——即，連接DHCP Server的接口和朝向DHCP Server的接口需要Trusted

?

DHC Prequests(discover)and responses(offer)are tracked.

Deny responses(offers)on untrusted interfaces to stop malicious or errant DHCP servers.

?

?

2.DHCP Snooping Binding表

開啟DHCP Snooping后會在交換機上建立一個綁定表，通過偵聽DHCP消息內容，為每一個分配的IP建立一個表項，其中包括客戶端的IP地址、MAC地址、端口號、VLAN編號、租期和綁定類型等信息。也可以手動向這個綁定表中添加表項（該綁定表主要用于IP源保護和DAI）。這個DHCP snooping banding databse除了可以做一些基本的安全接入控制，還能夠用于DAI等防ARP欺騙的解決方案。

一臺支持DHCP snooping的交換機，如果在其untrust接口上，收到來自下游交換機發送的、且帶有option82的DHCP報文，則默認的動作是丟棄這些報文。如果該交換機開啟了DHCP snooping并且帶有option82的DHCP報文是在trusted接口上收到的，則交換機接收這些報文，但是不會根據報文中包含的相關信息建立DHCP bingding databse表項。

為確保設備重啟后binding表不丟失，建議設置永久存儲

?

3.配置命令

ip dhcp snooping??!!

總開關

?

ip dhcp snooping vlan 10 ?!!

偵聽哪個VLAN

ip dhcp snooping database flash:dhcp.db ??!!

binding表寫入路徑，不設的話保存在內存中

ip dhcp snooping trust ?!!

設置Trust接口

int e0/0

?ip dhcp snooping limit rate XX ??

//設定限速保護（pps）超出則err-disable端口

show ip dhcp snooping binding ?!!

查看綁定表

show ip dhcp snooping database

?

如果交換機確實通過一個untrust接口連接了下游交換機，并且希望放行該接口收到的、下游交換機發送出來的帶有option82的DHCP報文，則可使用全局命令：ip dhcp snooping information option allow-untrusted，同時由于是通過untust接口收到的DHCP報文，因此會根據偵聽的結果創建DHCP snooping binding database表項。

總結

以上是生活随笔為你收集整理的【收藏】用户私自搭建伪服务器怎么办？禁它的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。