新闻转载DHCP Snooping如何工作

垩摄冷光源

1什么是DHCPSnooping
DHCPSnooping也叫DHCP窥探，是一种常应用在二层接入设备的DHCP安全协议，它通过监听DHCP报文来拦截局域中不合法的DHCP流量，从而防止DHCP攻击，提升络安全。部署了DHCPSnooping的设备能够现以下动作：
●过滤不受信端口的DHCP应答报文；
●构建和维护DHCPSnooping绑定表，其中包含用户获取到的IP信息以及用户MAC地址、D、PORT和租约时间等信息；
●通过与ARP检测功能或ARPCheck功能配合使用，可以进一步现控制用户合法使用IP地址的目的。
2DHCPSnooping如何工作
21DHCP工作原理
在介绍DHCPSnooping如何工作之前，先简要说明DHCP的工作机制。
DHCP是一个被广泛应用的、为局域内主机动态分配IP地址等重要信息的协议。一次DHCP协议交互可以简单概括为如下4个步骤：
(1)DHCP客户端通过广播DHCPDiscover报文来向局域内的DHCP服务器请求服务。
(2)DHCP服务器根据自身配置的IP地址池、相应的子掩码和关等信息，通过DHCPOffer报文应答客户端。
(3)若接受DHCPOffer报文中的配置，DHCP客户端则广播DHCPRequest报文以通告DHCP服务器和局域内其他主机其生效的IP地址。
(4)比较后，服务器将会应答DHCPACK报文给客户端进行比较终确认。
如图2-1中，通过DHCP协议交互，客户端从DHCP地址池中租用了IP地址10001124，并得知局域内关地址为10001。那么，客户端后续的IP数据将发往关10001现与广域的通信。
图2-1DHCP协议原理示意图


22DHCPSnooping防止服务欺攻击
由于DHCPDiscoverRequest是广播报文，假如局域中加入了攻击者，那么它便可以获取到络内每一台主机的DHCP请求信息。通过修改IP地址或者关等信息伪造DHCPOfferACK报文应答主机，来达到使用户法上或者窃取用户信息的目的，这种攻击方式被称为DHCP服务欺攻击。如图2-2，攻击者为了截获局域内用户的流量，将自己本地的IP地址10002作为虚假关地址，非法应答客户端的DHCP请求。后续，客户端的IP数据包将会发往虚假关，造成信息露。如果攻击者在截获流量的同时对真关和客户端之间的数据进行转发，那么络内受到攻击的主机将感受不到断等络异常，隐蔽性极强。
图2-2DHCP欺攻击示意图


在设备上开启DHCPSnooping功能，把连接可信服务器的端口设置为Trust口，其余皆为Untrust口，DHCPSnooping能够有效的防止上文所述的DHCP服务欺攻击。如图2-3，在DeceA上开启DHCPSnooping功能，只有服务器的DHCPOfferACK报文能够通过Trust口送达客户端，攻击者设备由于连接在Untrust口上，其发送的非法DHCPOfferACK报文将不允许通过，从而保证客户端能够获得正确的络配置，避免了信息露。
图2-3DHCPSnooping防止DHCP欺攻击示意图


23DHCPSnooping防止伪造报文攻击
除了仿冒DHCP服务器，攻击者还能仿冒DHCP客户端对DHCP服务器发起攻击。如图2-4，攻击者通过非法截获DHCP客户端在局域内广播的DHCPDiscover报文获取其MAC地址，从而仿冒MAC伪造不同的DHCP客户端向DHCP服务器大量发送非法请求报文，使得DHCP服务器的IP地址池被消耗，甚至抢夺络内合法客户端的IP地址。一旦服务器的IP地址池被非法请求耗空，络内的其他合法主机将由于法通过DHCP获得IP地址而断。这种攻击方式被称为伪造DHCP报文攻击，也是一种典型的DoS攻击。
图2-4伪造DHCP报文攻击示意图


除了过滤Untrust口的非法DHCP应答报文，DHCPSnooping通过进一步维护DHCP绑定表项来防止伪造报文攻击。DHCP绑定表项通过窥探合法DHCP报文来对客户端的MAC地址、IP地址租期、接口号和VLAN信息等建立起关联并且维护，从而对后续DHCP客户端请求报文进行过滤。如图2-5，在DeceA上部署DHCPSnooping功能并将与客户端主机相连的接口设置为Untrust口。那么，所有通过Untrust口的DHCP请求报文将会首先进行DHCP绑定表项匹配。由于攻击者伪造的报文与DeceA上维护的绑定表法匹配，伪造报文将会被丢弃，从而有效阻止了这类攻击。
图2-5DHCPSnooping防止伪造DHCP报文攻击示意图


3结语
DHCPSnooping作为DHCP安全特性，除了能通过对Untrust口非法DHCP流量的拦截以及绑定表的维护来防止DHCP服务欺攻击和伪造DHCP报文攻击外，还能通过与ARP协议联动防止ARP入侵。由于DHCP协议应用广泛，为提升络安全性能，在用户接入层部署支持DHCPSnooping特性的设备是十分必要的。
相关链接DHCP是什么DHCP工作流程


从一些观点来看，交换机能够较好的带动周边市场的快速发展，是核心的动力。锐捷路由器产品系列包括，核心路由器、汇聚路由器、接入路由器、移动路由器、中小网络企业级路由器以及一系列路由器应用软件产品，如需进行路由器选购或想要了解更多详细的路由器方案、路由器推荐信息，欢迎咨询锐捷网络。https://www.ruijie.com.cn/cp/jh/