DHCP Server仿冒攻击 (bootpc)

DHCP Server仿冒攻击

攻击简介
由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。
如图15-3所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。
图15-3 DHCP Client发送DHCP Discover报文示意图

图片.png

如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS(Domain Name System)服务器、错误的IP等信息,如图15-4所示。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。
图15-4 DHCP Server仿冒者攻击示意图
图片.png

现象描述
DHCP Client无法获取到正确的IP地址,用户无法正常访问网络。
定位思路
一般在业务部署的时候,防DHCP Server仿冒攻击就应该考虑。很少等到问题发生了才部署防DHCP Server仿冒攻击。如果出现该类问题,一般可以查看客户端DHCP相关信息,来确定问题原因。
问题根因
DHCP申请IP地址的交互流程中,客户端发送的是广播报文。如图15-4所示,仿冒的DHCP服务器可以截获DHCP Client发送的请求报文,为DHCP Client分配地址。

图片.png

方法一:通过DHCP Snooping来控制DHCP请求跟应答报文的交互,防止仿冒的DHCP服务器为DHCP Client分配IP地址以及其他配置信息。
全局使能DHCP Snooping业务
<HUAWEIFutureMatrix> system-view
[HUAWEIFutureMatrix] dhcp enable
[HUAWEIFutureMatrix] dhcp snooping enable
用户侧端口配置DHCP Snooping功能,DHCP Snooping也可以在VLAN内配置,可以根据需要进行选择。
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/1  
[HUAWEIFutureMatrix-GigabitEthernet8/0/1] dhcp snooping enable  
连接DHCP服务器的端口配置成信任端口
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/10
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] dhcp snooping trusted


方法二:DHCP Snooping是通过控制DHCP报文的转发来防止DHCP Server仿冒攻击。可以通过流策略达到同样的效果。只允许DHCP请求报文向信任口转发,只允许DHCP回应报文从信任口收到并转发。
1、配置ACL匹配DHCP回应报文
[HUAWEIFutureMatrix] acl 3001
[HUAWEIFutureMatrix-acl-adv-3001] rule permit udp destination-port eq bootpc
配置两个流策略,一个丢弃DHCP回应报文,一个允许DHCP回应报文转发,将丢弃的流策略应用到VLAN,将允许转发的流策略应用到连接DHCP Server方向的端口,利用流策略在端口应用的优先级高于在VLAN中应用,来实现只接收并转发从DHCP Server方向过来的DHCP回应报文的目的。
[HUAWEIFutureMatrix] traffic classifier bootpc_dest
[HUAWEIFutureMatrix-classifier-bootpc_dest] if-match acl 3001
[HUAWEIFutureMatrix-classifier-bootpc_dest] quit
[HUAWEIFutureMatrix] traffic behavior deny
[HUAWEIFutureMatrix-behavior-deny] deny
[HUAWEIFutureMatrix-behavior-deny] quit
[HUAWEIFutureMatrix] traffic behavior permit
[HUAWEIFutureMatrix-behavior-permit] permit
[HUAWEIFutureMatrix-behavior-permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_dest_permit
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_permit] classifier bootpc_dest behavior permit   //配置允许DHCP回应报文转发的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_dest_deny
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_deny] classifier bootpc_dest behavior deny       //配置DHCP回应报文丢弃的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_dest_deny] quit
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/10  
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] traffic-policy bootpc_dest_permit inbound  //将允许DHCP回应报文的流策略应用在信任端口上
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] quit
[HUAWEIFutureMatrix] vlan 172
[HUAWEIFutureMatrix-vlan172] traffic-policy bootpc_dest_deny inbound    //将丢弃DHCP回应报文的流策略应用在VLAN中
[HUAWEIFutureMatrix-vlan172] quit

2、配置ACL匹配DHCP请求报文
[HUAWEIFutureMatrix] acl 3000
[HUAWEIFutureMatrix-acl-adv-3000] rule permit udp source-port eq bootpc

配置两个流策略,一个丢弃DHCP请求报文,一个允许DHCP请求报文转发,将丢弃的流策略应用到VLAN,将允许转发的流策略应用到连接DHCP Server方向的端口,利用流策略在端口应用的优先级高于在VLAN中应用,来实现将DHCP请求报文只往DHCP Server转发的目的。
[HUAWEIFutureMatrix] traffic classifier bootpc_src
[HUAWEIFutureMatrix-classifier-bootpc_src] if-match acl 3000
[HUAWEIFutureMatrix-classifier-bootpc_src] quit
[HUAWEIFutureMatrix] traffic behavior deny
[HUAWEIFutureMatrix-behavior-deny] deny
[HUAWEIFutureMatrix-behavior-deny] quit
[HUAWEIFutureMatrix] traffic behavior permit
[HUAWEIFutureMatrix-behavior-permit] permit
[HUAWEIFutureMatrix-behavior-permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_src_permit
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_permit] classifier bootpc_src behavior permit    //配置允许DHCP请求报文转发的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_permit] quit
[HUAWEIFutureMatrix] traffic policy bootpc_src_deny
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_deny] classifier bootpc_src behavior deny    //配置DHCP请求报文丢弃的流策略
[HUAWEIFutureMatrix-trafficpolicy-bootpc_src_deny] quit
[HUAWEIFutureMatrix] interface GigabitEthernet 8/0/10  
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] traffic-policy bootpc_src_permit outbound     //将允许DHCP请求报文转发的流策略应用在信任端口的出方向
[HUAWEIFutureMatrix-GigabitEthernet8/0/10] quit
[HUAWEIFutureMatrix] vlan 172
[HUAWEIFutureMatrix-vlan172] traffic-policy bootpc_src_deny outbound   //将丢弃DHCP请求报文的流策略应用在VLAN的出方向
[HUAWEIFutureMatrix-vlan172] quit

   

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » DHCP Server仿冒攻击 (bootpc)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!