【收藏】用户私自搭建伪服务器怎么办?禁它
DHCP Spoof Attacks
?
?
?
?
技術原理——讓三層交換機可以偵聽DHCP報文內容,從而實現一系列安全特性,防御DHCP starvation和spoofing攻擊等等
1、Attacker hosts a rogue DHCP server off a switch port.
2、Client broadcasts a request for DHCP configuration information.
3、The rogue DHCP server responds before the legitimate DHCP server,assigning attacker-defined IP configuration information.
4、Host packets are redirected to the attacker's address as it emulates a default gateway for the erroneous DHCP address provided to the client.
網絡里面連接了一臺非法的DHCP服務器;
當DHCP Client發送廣播報文去DHCP Server申請IP地址時,非法DHCP服務器在合法的DHCP服務器響應前回應Client的請求,給Client分配一個非法的IP地址,并把網關指向自己;
當Client要訪問其他網絡時,流量被發往Attacker。
?
DHCP Snooping原理
?
?
?
?
?
DHCP Snooping詳解
?
?
?
?
在DHCP snooping環境中(部署在交換機上),我們將端口視為trust或untrust兩種安全級別,也就是信任或非信任接口。在交換機上,將連接合法DHCP服務器的接口配置為trust。只有trust接口上收到的來自DHCPserver的報文(如DHCPOFFER, DHCPACK, DHCPNAK, 或者DHCPLEASEQUERY)才會被放行,相反,在untrust接口上收到的來自DHCPserver的報文將被過濾掉,這樣一來就可以防止非法的DHCPserver接入。
技術要點:
1、Trusted接口與Untrusted接口
啟用DHCP Snooping后,所有接口默認是Untrusted接口,需手動設置方可改為Trusted交換機Untrusted接口只允許接收DHCP discovery消息,不允許發出discovery消息;允許發送offer消息,不允許接收offer消息Trust接口,無任何限制,也不做任何檢測
?
——即,連接DHCP Server的接口和朝向DHCP Server的接口需要Trusted
?
DHC Prequests(discover)and responses(offer)are tracked.
Deny responses(offers)on untrusted interfaces to stop malicious or errant DHCP servers.
?
?
2.DHCP Snooping Binding表
開啟DHCP Snooping后會在交換機上建立一個綁定表,通過偵聽DHCP消息內容,為每一個分配的IP建立一個表項,其中包括客戶端的IP地址、MAC地址、端口號、VLAN編號、租期和綁定類型等信息。也可以手動向這個綁定表中添加表項(該綁定表主要用于IP源保護和DAI)。這個DHCP snooping banding databse除了可以做一些基本的安全接入控制,還能夠用于DAI等防ARP欺騙的解決方案。
一臺支持DHCP snooping的交換機,如果在其untrust接口上,收到來自下游交換機發送的、且帶有option82的DHCP報文,則默認的動作是丟棄這些報文。如果該交換機開啟了DHCP snooping并且帶有option82的DHCP報文是在trusted接口上收到的,則交換機接收這些報文,但是不會根據報文中包含的相關信息建立DHCP bingding databse表項。
為確保設備重啟后binding表不丟失,建議設置永久存儲
?
3.配置命令
ip dhcp snooping??!!
總開關
?
ip dhcp snooping vlan 10 ?!!
偵聽哪個VLAN
ip dhcp snooping database flash:dhcp.db ??!!
binding表寫入路徑,不設的話保存在內存中
ip dhcp snooping trust ?!!
設置Trust接口
int e0/0
?ip dhcp snooping limit rate XX ??
//設定限速保護(pps)超出則err-disable端口
show ip dhcp snooping binding ?!!
查看綁定表
show ip dhcp snooping database
?
如果交換機確實通過一個untrust接口連接了下游交換機,并且希望放行該接口收到的、下游交換機發送出來的帶有option82的DHCP報文,則可使用全局命令:ip dhcp snooping information option allow-untrusted,同時由于是通過untust接口收到的DHCP報文,因此會根據偵聽的結果創建DHCP snooping binding database表項。
總結
以上是生活随笔為你收集整理的【收藏】用户私自搭建伪服务器怎么办?禁它的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【干货】在Redis中设置了过期时间的K
- 下一篇: 带你了解2020年全新【思科专家级认证C