DHCP安全威胁

DHCP是什么：动态主机配置协议（Dynamic Host Configuration Protocol）

DHCP面临的安全威胁

​ 网络攻击行为无处不在，针对DHCP的攻击行为也不例外。例如，某公司突然出现大面积用户无法上网的情况，经检查用户终端均为获取到IP地址，且DHCP地址池中的地址已经全部被分配出去了，这种情况很可能是受到了饿死攻击造成的

DHCP的攻击行为主要有以下三种：

• DHCP饿死攻击
• 仿冒DHCP Server攻击
• DHCP中间人攻击

DHCP Server攻击漏洞分析

DHCP Server想申请者分配IP地址时，无法区分正常的申请者与恶意的申请者

DHCP中间人攻击

攻击原理

攻击者利用ARP机制，让PC-A学习到IP-S与mac-B的映射关系，又让Server学习到IP-A与MAC-B的映射关系。如此一来，PC-A与Server之间交互的IP报文都会经过攻击者中转

漏洞分析

从本质上来讲，中间人攻击是一种Spoofig IP/MAC攻击，中间人利用了虚假的IP地址与MAC地址之间的映射关系。如此一来，PC-A与Server之间交互的IP报文都会经过攻击者zhong

DHCP Snooping

防止DHCP饿死攻击

1、开启DHCP服务

dhcp enable

2、开启dhcp snooping功能

dhcp snooping enable

3、检查报文里的chaddr字段

int g0/0/1
dhcp snooping check dhcp-chaddr enable

防止仿冒DHCP Server攻击

dhcp enable
dhcp snooping enable
int g0/0/3

链接DHCP服务器接口开启受信任功能

dhcp snooping trusted

防止DHCP中间人攻击

dhcp enable
dhcp snooping enable
arp dhcp-snooping-detect enable

DHCP Snooping与IPSG技术的联动

dhcp enable
dhcp snooping enable
int g0/0/4
ip source check user-bind enable