智能手机普及,无线网络成了不可或缺的基础设施。在企业中,往往有因为公司提供的WiFi被限速,或者信号不理想,导致员工自己接无线路由器的现象发生。知道怎么接的还好,不知道怎么接的(把无线路由器的LAN口接到公司终端面板上),会因为DHCP攻击导致同接入层的所有终端网络瘫痪。
如下图,网关同时作为DHCP服务器为PC分发IP地址,此时这个广播域中只有一台DHCP服务器,是管理员指定的服务器,是合法的DHCP服务器。
合法DHCP服务器
如下图,王富贵为了方便自己的手机更好更快的连接网络,自己增加了一台普通的无线路由器,把公司接入层的网线,接到路由器的LAN口,并且也开启了无线路由器的DHCP服务,此时,这台路由器在这个广播域里,是仿冒DHCP服务器,会回应接入层交换机所有设备的DHCP请求报文(DHCP ACK、DHCP NAK和DHCP Offer报文)。造成设备无法获取正确的IP地址,导致网络瘫痪。
仿冒DHCP服务器
如下图,合法DHCP分配的地址是192.168.100.0/24网段,仿冒者是192.168.200.0/24的网段,仿冒者回应了皮皮虾的IP地址请求,获取到了192.168.200.0/24网段的IP;这种情况下,皮皮虾肯定会失去和内外网的所有连接。
抓包
皮皮虾获取到错误的IP
那怎么避免呢?可以通过DHCP snooping来保证用户从合法DHCP服务器获取IP地址;通过将端口配置为信任和非信任端口,来判断是否允许DHCP相关报文通过,并记录客户端IP地址和MAC地址以及租约的对应关系,以此增加网络的稳定性。前提是接入层交换机必须支持DHCP snooping功能,傻瓜交换机,无解。
实现过程:
只要在接入层交换机进行相关配置就可以了,以上面的拓扑为例(华为S5700系列交换机):
[Huawei]sys //进入系统视图
[Huawei]dhcp enable //开启全局DHCP服务
[Huawei]dhcp snooping enable ipv4 //开启全局dhcp snooping服务并处理ipv4报文
[Huawei]interface GigabitEthernet 0/0/1 //进入dhcp服务器侧的接口
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //设置为信任接口,允许DHCP相关报文通过
[Huawei-Ethernet0/0/1]dhcp snooping enable //进入用户侧接口,开启dhcp snooping,接口默认是非信任,所以不需要额外命令来配置;所有用户侧接口都需要执行“dhcp snooping enable”配置。
验证:
如下图,皮皮虾只获取到了合法dhcp服务器分配的IP地址。
皮皮虾从合法DHCP服务器获取到了IP地址
在接入层的E0/0/1口处抓包,也不会有仿冒者的回应的DHCP报文出现了。
E0/0/1口抓包
至于,傻瓜交换机作为接入层的场景,同傻瓜机下的设备,有无好的办法来避免这种DHCP攻击呢?欢迎评论交流~
閱讀更多 然誠如 的文章
