DHCP中间人攻击

DHCP中间人攻击
攻击原理：攻击者利用ARP机制，让PC-A学习到IP-S与MAC-B的映射关系，又让Server学习到IP-A与MAC-B的映射关系。如此一来，PC-A与Server之间交互的IP报文都会经过攻击者中转。
漏洞分析：从本质上讲，中间人攻击是一种Spoofing IP/MAC攻击，中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器。
如图所示，攻击者利用ARP机制，让PC-A学习到IP-S与MAC-B的映射关系，又让Server学习到IP-A与MAC-B的映射关系。当PC-A向DHCP Server发送IP报文时，目的IP地址为IP-S，源IP地址为IP-A，而封装这个IP报文的帧的目的MAC地址为MAC-B，源MAC地址为MAC-A，所以这个帧会首先到达攻击者PC-B。攻击者收到这个帧后，将这个帧的目的MAC地址更换为MAC-S，源MAC地址更换为MAC-B，然后将这个帧发往Server。如此“偷梁换柱”，Server是看不出任何破绽的。另一方面，当DHCP Server向PC-A发送IP报文时，目的IP地址为IP-A，源IP地址为IP-S，而封装这个IP报文的帧的目的MAC地址为MAC-B，源MAC地址为MAC-S，所以这个帧也会首先到达攻击者PC-B。攻击者收到这个帧后，将这个帧的目的MAC地址更换为MAC-A，源MAC地址更换为MAC-B，然后将这个帧发往PC-A。同样，PC-A也是看不出任何破绽的。
由于往来于PC-A与DHCP Server之间的IP报文都会经过攻击者（中间人）进行中转，攻击者便很容易窃取这些IP报文中的某些信息，并利用这些信息来进行其他的破坏行为。攻击者也可以很容易对往来于PC-A与DHCP Server之间的DHCP消息（这些消息是封装在UDP报文中的，而UDP报文又是封装在IP报文中的）进行篡改，达到直接攻击DHCP的目的。

DHCP Snooping用于防止DHCP中间人攻击
我们已经知道，DHCP中间人攻击本质上是一种Spoofing IP/MAC攻击。要想防止DHCP中间人攻击，其实就是要防止Spoofing IP/MAC攻击。
运行了DHCP Snooping的交换机会“侦听（Snooping）”往来于用户与DHCP Server之间的DHCP消息，并从中收集用户的MAC地址（这里的MAC地址是指DHCP消息中CHADDR字段的值）、用户的IP地址（这里的IP地址是指DHCP Server分配给相应CHADDR的IP地址）等信息，这些信息会集中存放在一个数据库中，该数据库也被称为DHCP Snooping绑定表。运行了DHCP Snooping的交换机会建立并动态维护DHCP Snooping绑定表，绑定表中除了包含了用户的MAC地址、用户的IP地址外，还包括IP地址租用期、VLAN-ID等等信息。
如图所示，假设DHCP Server给PC-A分配了IP地址IP-A，给PC-B分配了IP地址IP-B，那么IP-A与MAC-A就形成了绑定关系，IP-B与MAC-B也形成了绑定关系，这种绑定关系都存放于DHCP Snooping绑定表中。攻击者为了让Server学习到IP-A与MAC-B的映射关系，会发送ARP请求报文（将ARP报文中的源IP地址填为IP-A，源MAC地址填为MAC-B）。交换机接收到ARP请求报文后，会检查该ARP请求报文中的源IP地址和源MAC地址，发现该IP/MAC（IP-A/MAC-B）映射关系不能匹配DHCP Snooping绑定表中的条目，于是会丢弃该ARP请求报文，这样就有效地防止了Spoofing IP/MAC攻击。
如果需要使用上面所描述的防止Spoofing IP/MAC攻击（进而防止中间人）的方法，就必须在交换机的系统视图下执行配置命令arp dhcp-snooping-detect enable。

DHCP服务器与MAC地址绑定、snooping（列表、list、全）maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html