在DHCP网络环境中,若攻击者仿冒合法用户的DHCP报文发往DHCP服务器,会导致合法用户无法使用该IP地址或异常下线。在生成DHCP Snooping绑定表后,设备可根据绑定表项,对DHCP报文进行匹配检查,只有匹配成功的报文设备才将其转发,否则将丢弃。这将能有效得防止非法用户通过发送伪造DHCP报文冒充合法用户进行续租或释放IP地址。
1.dhcp客户端伪造dhcp报文攻击
攻击原理:
(1)攻击者仿冒合法客户端向dhcp服务器发送dhcp request报文去续租IP。
造成IP无法被正常回收,导致合法的客户端无法获取IP地址
(2)攻击者仿冒合法客户端向dhcp服务器发送dhcp release报文去释放IP,造成合法客户端异常下线
解决办法:在接入交换机开启dhcp snooping功能。
[SW3-GigabitEthernet0/0/1]dhcp snooping check dhcp-request enable
在接口开启dhcp-request消息类型检测。
这里的dhcp request它不是dhcp request报文种类,而是dhcp的消息类型
2.非dhcp客户端伪造dhcp报文攻击
[SW3-GigabitEthernet0/0/1]dhcp snooping sticky-mac
开启设备该接口基于dhcp snooping绑定表功能的MAC地址学习机制。
该接口一旦开启此功能,MAC地址表学习途径只能通过snooping表项学习,如果没有snooping表项生成,就无法学习MAC地址表,同时该接口无法转发数据。
(该功能开启以后,意味着这个接口就只能接入dhcp客户端,对于静态客户端将无法入网。)
限时福利 课程免费试听名额
扫码添加老师立即申请
