一�����、關于DHCP的欺騙攻擊
1、一個DHCP的攻擊者,同樣可以在一個VLAN中提供服務
2、DHCP攻擊者會應答DHCP客戶端的發(fā)送請求信息
3、攻擊者會分配IP地址等信息和默認網關給DHCP客戶端
說明:在一個VLAN中存在多個DHCP服務器可能會造成地址分配沖突問題
二�、解決DHCP的欺騙攻擊(DHCP 監(jiān)聽)
1���、DHCP 允許配置 (信任)端口和(非信任)端口
2�����、 端口不能夠處理DHCP的應答消息
3���、DHCP 被配置在DHCP 的上行鏈路的(接入層)交換機上
三、配置步驟
()# ip dhcp //啟用DHCP
()# ip dhcp //啟用82選項
//82選項的功能:將DHCP請求發(fā)給DHCP服務器之前沒有默認網關會產生什么問題�, 將向數據包中增加入口模塊�����、端口、VLAN和���、交換機MAC地址
(-if)# ip dhcp trust//配置信任端口
()# ip dhcp vlan//DHCP監(jiān)聽作用的VLAN
# show ip dhcp
四、IPSG (IP的源防護)
IP GUARD是在DHCP 功能的基礎上�����,形成IP 表,只作用在二層端口上�����。
IPSG能夠提供檢測機制來確保單個接口所接收到的數據包能夠被各個接口所接收�。如果檢查成功通過,那么就將許可數據包���;否則就會發(fā)生違背策略的活動。IPSG不僅通夠確保第2層網絡中終端設備的IP地址不會產生沖突或占用�,而用還能確保非授權的設備不能夠通過自己指定的IP地址的方式來訪問網絡或導致網絡不正常狀態(tài)���。
DAI(動態(tài)ARP檢測)
ARP(地址解析協(xié)議)的綁定
PC機靜態(tài)ARP綁定:
C:> ARP –s 192.168.1.1 00-50-8b-f0-0c-3e//ARP靜態(tài)綁定
C:> ARP –d//清除當前ARP列表
C:> ARP –a//查看當前所有ARP列表
的靜態(tài)ARP綁定:
()# arp 192.168.2.69 0001.1111.1111 /0//綁定
# show arp//查看ARP列表
# clear arp-cache//清除ARP列表
DAI( ARP )是一種能夠驗證網絡中ARP數據包的安全特性的一項技術�����。
DAI也是以DHCP 為基礎的,也區(qū)分為信任和非信任端口,DAI只檢測非信任端口的ARP包�,可以截取���、記錄和丟棄與 中IP地址到MAC地址映射關系條目不符的ARP包�����。如果不使用DHCP ,則需要手工配置ARP ACL��。
雖然dhcp 是用來防止非法的dhcp 接入的��,但是它一個重要作用是一旦客戶端獲得一個合法的dhcp offer�。啟用dhcp 設備會在相應的接口下面記錄所獲得IP地址和客戶端的mac地址�����。這個是后面另外一個技術ARP 檢測的一個依據����。ARP 是用來檢測arp請求的�,防止非法的ARP請求。認為是否合法的標準的是前面dhcp 時建立的那張表�。因為那種表是dhcp 正?;貞獣r建立起來的���,里面包括是正確的arp信息��。如果這個時候有arp攻擊信息����,利用ARP 技術就可以攔截到這個非法的arp數據包�。其實利用這個方法,還可以防止用戶任意修改IP地址沒有默認網關會產生什么問題�,造成地址沖突等問題�����。
一、配置SW1的防護功能
SW1()# ip dhcp //啟用DHCP
SW1()# ip dhcp //啟用82選項
SW1()# ip dhcp vlan 10,20//DHCP監(jiān)聽作用的VLAN
SW1()# ip dhcp flash:dhcp.db//將DHCP綁定信息保存到dhcp.db中
SW1()# ip dhcp mac-
SW1()# f0/21
SW1(-if)# mode
SW1(-if)# port-
SW1(-if)# ip port-
SW1()# f0/23
SW1(-if)# mode
SW1(-if)# port-
SW1(-if)# ip port-
可選配//SW1()# ip 0000.0000.0001 vlan 10 172.16.1.1 f0/2
可選配//SW1()# ip 0000.0000.0002 vlan 20 172.16.2.1 f0/1
SW1()# ip arp vlan 10,20//ARP檢測基于
SW1()# ip arp src-mac dst-mac ip //基于源MAC 目標MAC和IP
//DHCP服務器的配置
DHCP- 使用路由器來完成
()# ip dhcp pool 定義地址池
(-vlan)# 172.16.1.0 255.255.255.0 定義地址池做用的網段及地址范圍
(-vlan)# - 172.16.1.254 定義客戶端的默認網關
(-vlan)# dns- 218.108.248.200 定義客戶端的dns
(-vlan)#exit
()# ip dhcp pool
(-vlan)# 172.16.2.0 255.255.255.0
(-vlan)# - 172.16.2.254
(-vlan)# dns- 218.108.248.200
(-vlan)# exit
()# ip dhcp - 172.16.1.100 172.16.1.254//配置保留地址段
()# ip dhcp - 172.16.2.100 172.16.2.254
()# e0/0
(-if)# ip 172.16.3.1 255.255.255.0
(-if)# no
交換機上的配置
SW1()# vlan 10
SW1(-if)# ip 172.16.1.254 255.255.255.0
SW1(-if)# ip - 172.16.3.1//以單播向DHCP-發(fā)送請求
SW1(-if)#
SW1(-if)# ip 172.16.2.254 255.255.255.0
SW1(-if)# ip - 172.16.3.1
