???? 上周六有幸去參加了51CTO的技術(shù)沙龍，看到了很多的技術(shù)同行，講師的熱情和現(xiàn)場(chǎng)嘉賓的踴躍互動(dòng)都讓我再一次感受到了IT人執(zhí)著技術(shù)和探索追求問(wèn)題完美解決方案的求知熱忱，當(dāng)林鵬老師講到DHCP***案例時(shí)，又讓我想起了曾經(jīng)在這個(gè)問(wèn)題上自己經(jīng)歷的一些探索，在此總結(jié)一下與大家分享，也希望大家補(bǔ)充更好的解決方案。

???? DHCP應(yīng)用背景：在局域網(wǎng)組網(wǎng)規(guī)模相對(duì)較大的環(huán)境中，為了提高網(wǎng)絡(luò)管理效率減少網(wǎng)絡(luò)管理中的繁復(fù)勞動(dòng)我們一般會(huì)在局域網(wǎng)中架設(shè)DHCP服務(wù)器，并通過(guò)該服務(wù)器來(lái)自動(dòng)為普通工作站提供合法IP地址提供上網(wǎng)服務(wù)；當(dāng)局域網(wǎng)中的普通工作站連接到局域網(wǎng)絡(luò)后，它會(huì)自動(dòng)向局域網(wǎng)網(wǎng)絡(luò)發(fā)送上網(wǎng)參數(shù)請(qǐng)求數(shù)據(jù)包，DHCP服務(wù)器一旦接受到來(lái)自客戶端系統(tǒng)的上網(wǎng)請(qǐng)求信息后，會(huì)自動(dòng)為其提供合適的IP地址、網(wǎng)絡(luò)掩碼地址、網(wǎng)關(guān)地址以及DNS地址等參數(shù)，獲得相應(yīng)合法地址后客戶端系統(tǒng)就能正常訪問(wèn)網(wǎng)絡(luò)了，很顯然DHCP服務(wù)器的穩(wěn)定性將直接影響整個(gè)局域網(wǎng)網(wǎng)絡(luò)的工作穩(wěn)定。

　　如果在局域網(wǎng)中同時(shí)還存在另外一臺(tái)不合法的DHCP服務(wù)器時(shí)或DHCP服務(wù)器遭受惡意***時(shí)，整個(gè)局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性將會(huì)受到破壞，普通工作站的上網(wǎng)將因無(wú)法獲得可用的合法IP地址而出現(xiàn)混亂。為了讓局域網(wǎng)網(wǎng)絡(luò)運(yùn)行始終穩(wěn)定，我們需要想辦法保護(hù)合法DHCP服務(wù)器的運(yùn)行安全性，以避免其受到惡意***或不合法DHCP服務(wù)器的“沖擊”！

下面看一個(gè)圖例：

1、交換機(jī)層面解決這個(gè)問(wèn)題
通過(guò)交換機(jī)的端口安全性設(shè)置每個(gè)客戶端主機(jī) DHCP 請(qǐng)求指定端口上使用唯一的 MAC 地址，通常 DHCP 服務(wù)器通過(guò) DHCP 請(qǐng)求的報(bào)文中的 CHADDR 段判斷客戶端 MAC 地址，通常這個(gè)地址和客戶端的MAC地址相同，如果***者不修改客戶端的 MAC 而修改 DHCP 報(bào)文中 CHADDR ，實(shí)施 Dos ***， Port Security 就不起作用了， DHCP 嗅探技術(shù)可以檢查 DHCP 請(qǐng)求報(bào)文中的 CHADDR 字段，判斷該字段是否和 DHCP 嗅探表相匹配。這項(xiàng)功能在有些交換機(jī)是缺省配置的，有些交換機(jī)需要配置，具體需要參考相關(guān)交換機(jī)的配置文檔。

另外利用DHCP Snooping技術(shù)，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。通過(guò)截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽(tīng)”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。在沒(méi)有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè)DHCP綁定條目包含客戶端地址(一個(gè)靜態(tài)地址或者一個(gè)從DHCP服務(wù)器上獲取的地址)、客戶端MAC地址、端口、VLAN ID、租借時(shí)間、綁定類型(靜態(tài)的或者動(dòng)態(tài)的)。

當(dāng)交換機(jī)開(kāi)啟了 DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

基本配置命令示例如下：

　　全局命令：

　　ip dhcp snooping vlan 10，20????????? * 定義哪些 VLAN 啟用 DHCP 嗅探

　　ip dhcp snooping

　　接口命令：

　　ip dhcp snooping trust

　　no ip dhcp snooping trust (Default)

　　ip dhcp snooping limit rate 10 (pps)??? * 一定程度上防止 DHCP 拒絕服務(wù)***

　　手工添加 DHCP 綁定表：

　　ip dhcp snooping binding? 000b.db1d.6ccd vlan 10 192.168.1.2 ?interface gi1/1? expiry 1000

　　導(dǎo)出 DHCP 綁定表到 TFTP 服務(wù)器

　　ip dhcp snooping database tftp:// 10.1.1 .1/file

　　需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh 、ftp 、 tftp) 或?qū)С龅街付?TFTP 服務(wù)器上，否則交換機(jī)重啟后 DHCP 綁定表丟失，對(duì)于已經(jīng)申請(qǐng)到 IP 地址的設(shè)備在租用期內(nèi)，不會(huì)再次發(fā)起 DHCP 請(qǐng)求。如果此時(shí)交換機(jī)己經(jīng)配置了 DAI 和 IP Source Guard 技術(shù)，這些用戶將不能訪問(wèn)網(wǎng)絡(luò)。

?? 注：對(duì)于類似Gobbler的DHCP 服務(wù)的DOS***可以利用Port Security限制源MAC地址數(shù)目加以阻止，對(duì)于有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突也可以利用DAI和IP Source Guard技術(shù)。有些復(fù)雜的DHCP***工具可以產(chǎn)生單一源MAC地址、變化DHCP Payload信息的DHCP請(qǐng)求，當(dāng)打開(kāi)DHCP偵聽(tīng)功能，交換機(jī)對(duì)非信任端口的DHCP請(qǐng)求進(jìn)行源MAC地址和DHCP Payload信息的比較，如不匹配就阻斷此請(qǐng)求。
?

2、客戶端服務(wù)器層面解決這個(gè)問(wèn)題
? 客戶端處理：在客戶端主機(jī)上我們可以在DOS命令行提示符下執(zhí)行“arp -s 192.168.2.45 00-01-02-03-04-05"來(lái)綁定客戶端的IP和MAC，同時(shí)執(zhí)行“arp -s 192.168.2.1 ?00-01-02-6E-3D-2B”?來(lái)綁定網(wǎng)關(guān)的IP和MAC，或者在客戶端主機(jī)上安裝一些ARP防病毒軟件來(lái)避免此類的***。
?????????一旦發(fā)現(xiàn)自己的客戶端不能正常上網(wǎng)時(shí)，我們可以在DOS命令行提示符下執(zhí)行“ipconfig/release”字符串命令，來(lái)將之前獲得的不正確上網(wǎng)參數(shù)釋放出來(lái)。

　　然后嘗試執(zhí)行“ipconfig/renew”字符串命令，來(lái)重新向局域網(wǎng)發(fā)送上網(wǎng)參數(shù)請(qǐng)求數(shù)據(jù)包，如果上述命令返回錯(cuò)誤的結(jié)果信息，那么我們可以在本地系統(tǒng)運(yùn)行對(duì)話框中繼續(xù)執(zhí)行“ipconfig/release”、“ipconfig /renew”字符串命令，直到客戶端工作站獲得有效的上網(wǎng)參數(shù)信息為止。

服務(wù)器端處理：
?? 通常情況下，局域網(wǎng)中的普通工作站安裝使用的都是Windows操作系統(tǒng)，在Windows工作站系統(tǒng)為主的局域網(wǎng)環(huán)境中，我們可以通過(guò)域管理模式來(lái)保護(hù)合法DHCP服務(wù)器的運(yùn)行安全性，同時(shí)過(guò)濾不合法的DHCP服務(wù)器，確保該DHCP服務(wù)器不會(huì)為局域網(wǎng)普通工作站分配錯(cuò)誤的上網(wǎng)參數(shù)信息。我們只要在局域網(wǎng)域控制器中，將合法有效的DHCP服務(wù)器主機(jī)加入到活動(dòng)目錄中，就能保證局域網(wǎng)中的所有普通工作站都會(huì)自動(dòng)從合法有效的DHCP服務(wù)器那里，獲得正確的上網(wǎng)參數(shù)信息了。這是因?yàn)橛蛑械钠胀üぷ髡鞠蚓W(wǎng)絡(luò)發(fā)送廣播信息，申請(qǐng)上網(wǎng)參數(shù)地址時(shí)，位于同一個(gè)域中的合法有效的DHCP服務(wù)器，會(huì)自動(dòng)優(yōu)先響應(yīng)普通工作站的上網(wǎng)請(qǐng)求，如果局域網(wǎng)指定域中的DHCP服務(wù)器不存在或失效時(shí)，那些沒(méi)有加入指定域中的不合法DHCP服務(wù)器才有可能響應(yīng)普通工作站的上網(wǎng)請(qǐng)求。

? 當(dāng)然我們也可以嘗試通過(guò)域管理加ISA安全管理的方式來(lái)實(shí)現(xiàn)更為細(xì)致的管理和控制。在域中設(shè)置一臺(tái)單獨(dú)的DHCP服務(wù)器，DHCP服務(wù)器通過(guò)MAC地址來(lái)為客戶端分發(fā)固定的IP，ISA服務(wù)器發(fā)布DHCP服務(wù)器并通過(guò)不同的策略設(shè)置來(lái)限定客戶端的權(quán)限，這樣可以實(shí)現(xiàn)粒度更為細(xì)致的安全管理。

注：域管理模式對(duì)于局域網(wǎng)規(guī)模比較小的單位來(lái)說(shuō)，幾乎沒(méi)有多大實(shí)際意義，因?yàn)樾∫?guī)模的局域網(wǎng)幾乎都是工作組工作模式，這種工作模式下合法有效的DHCP服務(wù)器是無(wú)法得到安全保護(hù)的。

總結(jié)

以上是生活随笔為你收集整理的DHCP***的防御处理总结的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。