DHCPDHCPv6原理及安全
DHCP基本原理
? DHCP應用場景:
? ? DHCP服務器能為大量主機分配IP地址,且能夠集中管理
? DHCP報文類型:
? ? DHCP discover:客戶端用來尋找DHCP服務器
? ? DHCP offer:DHCP服務器用來響應DHCP discover報文,此報文中攜帶各種配置信息
? ? DHCP request:客戶端請求配置確認或者租期續借
? ? DHCP ack:服務器對request報文的確認響應,ACK報文中包含IP地址、網關等確認信息
? ? DHCP nak:服務器對request報文的拒絕響應
? ? DHCP release:客戶端要釋放地址時用來通知服務器(在cmd中ipconfig /release可以用來釋放IP地址)
? ? DHCP?decline 收到ack時會檢查報文信息比如IP地址,如果發現有問題(如沖突)則回復這個報文用來拒絕下發的IP地址
? DHCP工作原理:
? ? 在發dhcp offer報文之前服務器端會發送免費ARP去檢測要下發的IP地址是否有被人使用
? ? 客戶端在正式開始使用IP地址之前也會發送免費ARP檢測
? DHCP地址池:
? ? ARG3系列路由器支持兩種地址池:全局地址池和接口地址池
? ? 接口地址池會給連接到一個網段的分配IP地址(優先級更高)
? ? 全局地址池為連接到各臺服務器的所有接口分配IP地址
? DHCP地址池配置:
DHCP Relay基本原理
? DHCP Relay產生背景:
? ? 隨著網絡規模的擴大,網絡中會出現用戶處于不同網段的情況,因為DHCP廣播消息在傳輸過程中無法跨越二層廣播域傳遞,故會被丟棄,DHCP服務器無法接受到DHCP消息則無法為客戶端分配地址
??dhcp relay也稱dhcp中繼,在網關設備上配置可以幫忙轉發無法跨越網段的dhcp消息傳遞到服務器,實現了使用一個DHCP server為多個二層廣播域中的DHCP client提供服務,節省成本又便于集中管理
? DHCP Relay工作原理:
? DHCP Relay配置:
DHCP面臨的安全問題:
? DHCP在設計上未充分考慮到安全因素,從而留下了許多安全漏洞,使得DHCP很容易受到攻擊,主要有以下三種攻擊方式:
? ? 1、DHCP餓死公攻擊:
? ? ? ? ?CHADDR:客戶端的硬件地址(源MAC地址)
? ? ? ? ?攻擊原理:攻擊者持續大量向服務器申請IP地址,直到耗盡服務器地址池中的IP地址導致服務器不能給正常的用戶進行分配
? ? ? ? ?利用的漏洞:DHCP服務器無法分辨合法的主機
? ? ? ? ?防護:DHCP snooping防餓死攻擊 ----一致性檢查(request報文幀頭mac地址和chaddr報文字段是否相同,相同才轉發)、限制接口允許學習的DHCP snooping綁定表項的MAC數量
? ? 2、仿冒服務器攻擊:
? ? ? ? ?攻擊原理:攻擊者仿冒服務器,向客戶端分配錯誤的IP地址及提供錯誤的網關地址等參數導致客戶端無法正常訪問網絡
? ? ? ? ?利用的漏洞:主機無法區別合法服務器
? ? ? ? ?防護:DHCP snooping防仿冒服務器攻擊 ---配置信任接口和非信任接口(默認都為非信任接口,需要手動修改)
? ? 3、中間人攻擊:
? ? ? ? ?攻擊原理:攻擊者利用ARP機制,讓客戶端和服務器學到錯誤的對方的IP地址和MAC地址的映射關系
? ? ? ? ?利用的漏洞:通過ARP欺騙攻擊客戶端和服務器?? ?
? ? ? ? ?防護:DHCP snooping防中間人攻擊--- 配置動態ARP檢測,讓設備將ARP報文對應的源IP、源MAC、接口、vlan信息和綁定表中的信息進行檢查對比,如果不一致則丟棄
IPSG&DAI
? IPSG簡介
? ? 隨著網絡規模增大,通過偽造源IP地址實施的網絡攻擊(簡稱IP地址欺騙攻擊)也增多,一些攻擊者通過偽造合法用戶的IP地址獲取網絡訪問權限,非法訪問網絡,甚至造成合法用戶無法訪問網絡或者信息泄露
? ? IP源防攻擊IPSG是一種基于二層接口的源IP地址過濾技術,能夠防止惡意主機偽造合法主機的IP地址來仿冒合法主機,確保非授權主機不能通過自己指定的IP地址來訪問網絡或攻擊網絡
? ? 防攻擊原理:IPSG利用綁定表(源IP地址、源MAC地址、所屬VLAN、入接口的綁定關系)去匹配檢查二層接口上收到的IP報文,只有匹配綁定表的報文才允許通過,其他報文將被丟棄(只匹配檢查IP報文,通過二層幀頭部中的type字段確認是否屬于IP報文)
? ? 綁定表分為靜態和動態兩種,缺省情況下,如果在沒有綁定表的情況下使能了IPSG,設備將拒絕除了DHCP請求報文以外的所有IP報文
?
DAI簡介
? ? 為了防御中間人攻擊,可以在路由器上部署動態ARP檢測DAI功能,利用綁定表來防御中間人攻擊
? ? 防攻擊原理:當設備收到ARP報文時,將對ARP報文對應的源IP、源MAC、vlan以及接口信息和綁定表的信息進行比較,如果信息匹配,則允許通過,否則丟棄(DAI僅適用于DHCP snooping場景)
? ? 設備使能DHCP snooping功能后,當DHCP用戶上線時,設備會自動生成DHCPsnopping綁定表(對于靜態配置IP地址的用戶,設備不會生成綁定表,所以需要手動添加靜態綁定表)
DHCPv6
? 基本概念
? ? DHCPv6是一種運行在客戶端和服務器之間的協議,協議報文基于UDP,能為主機分配ipv6地址以及其他網絡配置參數,并實現這些參數的集中管理,使用組播報文(組播地址ff02::1:2,指明所有服務器和中繼代理地址)無狀態自動獲取只能獲取IP地址,DHCP可以獲取其他的信息
? ? DHCPv6報文承載在UDPv6上,客戶端偵聽的是546,服務器、中繼代理偵聽的是547
? ? DHCPv4客戶端偵聽的是68,服務器偵聽的是67
? ? 每個DHCPv6服務器或客戶端有且只有一個唯一標識符DUID(DHCP設備唯一標識符)
? ? ? LL:用MAC地址來產生duid
? ? ? LLT:MAC地址+配置的時間
? 三種角色
? ? DHCPv6 client:DHCPv6客戶端,通過與服務器交互獲得IP地址/前綴和網絡配置信息,完成自身的地址配置功能
? ??DHCPv6 relay:DHCPv6中繼代理,負責轉發來自客戶端方向或者服務器方向的DHCPv6報文,協助客戶端和服務器完成自身地址配置功能(不是必須存在的角色)v6里面中繼出現的場景是客戶端和服務器不在同一個共享的網絡里面
? ? DHCPv6 server:DHCPv6服務器,負責處理來自客戶端或中繼代理的地址分配、租期續借、地址釋放等請求,為客戶端分配ipv6地址/前綴以及其他網絡配置參數
? DHCPv6報文
? DHCPv6地址獲取方式
? ? DHCPv6自動分配
? ? ? 有狀態自動分配:服務器自動配置IPV6地址/前綴,同時分配DNS服務器等網絡配置參數
? ? ? ? 四步交互分配
? ? ? ?
? ? ? 兩步交互快速分配
? ? ? 無狀態自動分配:仍然通過路由通告方式自動生成,只分配除了IPV6地址以外的配置參數
? DHCPv6配置標記
? ? 托管地址配置標記:M:指示主機使用配置協議來獲取有狀態地址(為1時)
? ? 其他有狀態配置標記:O:指示主機使用配置協議來獲取其他配置設置(為1時)
? ? ? M=1 ?O=1----DHCPV6 有狀態自動分配
? ? ? M=0 ?O=0----DHCPV6 無狀態自動分配
? ? ? M=0 ?O=1----DHCPV6 無狀態自動分配
總結
以上是生活随笔為你收集整理的DHCPDHCPv6原理及安全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux下磁盘sda,Linux下磁盘
- 下一篇: ros软路由防火墙(双线路、日志配置)