DHCP Server仿冒攻击 (bootpc)

DHCP Server仿冒攻击

攻击简介
由于DHCP Server和DHCP Client之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数，将会对网络造成非常大的危害。
如图15-3所示，DHCP Discover报文是以广播形式发送，无论是合法的DHCP Server，还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。
图15-3 DHCP Client发送DHCP Discover报文示意图

如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误的网关地址、错误的DNS（Domain Name System）服务器、错误的IP等信息，如图15-4所示。DHCP Client将无法获取正确的IP地址和相关信息，导致合法客户无法正常访问网络或信息安全受到严重威胁。
图15-4 DHCP Server仿冒者攻击示意图

现象描述
DHCP Client无法获取到正确的IP地址，用户无法正常访问网络。
定位思路
一般在业务部署的时候，防DHCP Server仿冒攻击就应该考虑。很少等到问题发生了才部署防DHCP Server仿冒攻击。如果出现该类问题，一般可以查看客户端DHCP相关信息，来确定问题原因。
问题根因
DHCP申请IP地址的交互流程中，客户端发送的是广播报文。如图15-4所示，仿冒的DHCP服务器可以截获DHCP Client发送的请求报文，为DHCP Client分配地址。

方法一：通过DHCP Snooping来控制DHCP请求跟应答报文的交互，防止仿冒的DHCP服务器为DHCP Client分配IP地址以及其他配置信息。
全局使能DHCP Snooping业务
<HUAWEIFutureMatrix> system-view
[HUAWEIFutureMatrix] dhcp enable
[HUAWEIFutureMatrix] dhcp snooping enable
用户侧端口配置DHCP Snooping功能，DHCP Snooping也可以在VLAN内配置，可以根据需要进行选择。
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/1  
[HUAWEIFutureMatrix-GigabitEthernet8/0/1] dhcp snooping enable  
连接DHCP服务器的端口配置成信任端口
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/10
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] dhcp snooping trusted


方法二：DHCP Snooping是通过控制DHCP报文的转发来防止DHCP Server仿冒攻击。可以通过流策略达到同样的效果。只允许DHCP请求报文向信任口转发，只允许DHCP回应报文从信任口收到并转发。
1、配置ACL匹配DHCP回应报文
[HUAWEIFutureMatrix] acl 3001
[HUAWEIFutureMatrix-acl-adv-3001] rule permit udp destination-port eq bootpc
配置两个流策略，一个丢弃DHCP回应报文，一个允许DHCP回应报文转发，将丢弃的流策略应用到VLAN，将允许转发的流策略应用到连接DHCP Server方向的端口，利用流策略在端口应用的优先级高于在VLAN中应用，来实现只接收并转发从DHCP Server方向过来的DHCP回应报文的目的。
[HUAWEIFutureMatrix] traffic classifier bootpc_dest
[HUAWEIFutureMatrix-classifier-bootpc_dest] if-match acl 3001
[HUAWEIFutureMatrix-classifier-bootpc_dest] quit
[HUAWEIFutureMatrix] traffic behavior deny
[HUAWEIFutureMatrix-behavior-deny] deny
[HUAWEIFutureMatrix-behavior-deny] quit
[HUAWEIFutureMatrix] traffic behavior permit
[HUAWEIFutureMatrix-behavior-permit] permit
[HUAWEIFutureMatrix-behavior-permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_dest_permit
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_permit] classifier bootpc_dest behavior permit   //配置允许DHCP回应报文转发的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_dest_deny
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_deny] classifier bootpc_dest behavior deny       //配置DHCP回应报文丢弃的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_deny] quit
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/10  
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] traffic-policy bootpc_dest_permit inbound  //将允许DHCP回应报文的流策略应用在信任端口上
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] quit
[HUAWEIFutureMatrix] vlan 172
[HUAWEIFutureMatrix-vlan172] traffic-policy bootpc_dest_deny inbound    //将丢弃DHCP回应报文的流策略应用在VLAN中
[HUAWEIFutureMatrix-vlan172] quit

2、配置ACL匹配DHCP请求报文
[HUAWEIFutureMatrix] acl 3000
[HUAWEIFutureMatrix-acl-adv-3000] rule permit udp source-port eq bootpc

配置两个流策略，一个丢弃DHCP请求报文，一个允许DHCP请求报文转发，将丢弃的流策略应用到VLAN，将允许转发的流策略应用到连接DHCP Server方向的端口，利用流策略在端口应用的优先级高于在VLAN中应用，来实现将DHCP请求报文只往DHCP Server转发的目的。
[HUAWEIFutureMatrix] traffic classifier bootpc_src
[HUAWEIFutureMatrix-classifier-bootpc_src] if-match acl 3000
[HUAWEIFutureMatrix-classifier-bootpc_src] quit
[HUAWEIFutureMatrix] traffic behavior deny
[HUAWEIFutureMatrix-behavior-deny] deny
[HUAWEIFutureMatrix-behavior-deny] quit
[HUAWEIFutureMatrix] traffic behavior permit
[HUAWEIFutureMatrix-behavior-permit] permit
[HUAWEIFutureMatrix-behavior-permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_src_permit
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_permit] classifier bootpc_src behavior permit    //配置允许DHCP请求报文转发的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_src_deny
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_deny] classifier bootpc_src behavior deny    //配置DHCP请求报文丢弃的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_deny] quit
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/10  
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] traffic-policy bootpc_src_permit outbound     //将允许DHCP请求报文转发的流策略应用在信任端口的出方向
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] quit
[HUAWEIFutureMatrix] vlan 172
[HUAWEIFutureMatrix-vlan172] traffic-policy bootpc_src_deny outbound   //将丢弃DHCP请求报文的流策略应用在VLAN的出方向
[HUAWEIFutureMatrix-vlan172] quit

DHCP服务器与MAC地址绑定、snooping（列表、list、全）maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html