中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

DHCP Snooping-網(wǎng)絡(luò)運維

2020-05-04 19:30 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師，在當(dāng)今網(wǎng)絡(luò)中，存在著大量攻擊，那么安全技術(shù)有多么的重要可想而知，這里跟大家介紹DHCP Snooping。

DHCP Snooping簡介

定義

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系，防止網(wǎng)絡(luò)上針對DHCP攻擊。

目的

目前DHCP協(xié)議（RFC2131）在應(yīng)用的過程中遇到很多安全方面的問題，網(wǎng)絡(luò)中存在一些針對DHCP的攻擊，如DHCP Server仿冒者攻擊、DHCP Server的拒絕服務(wù)攻擊、仿冒DHCP報文攻擊等。

為了保證網(wǎng)絡(luò)通信業(yè)務(wù)的安全性，可引入DHCP Snooping技術(shù)，在DHCP Client和DHCP Server之間建立一道防火墻，以抵御網(wǎng)絡(luò)中針對DHCP的各種攻擊。

受益

· 設(shè)備具有防御網(wǎng)絡(luò)上DHCP攻擊的能力，增強了設(shè)備的可靠性，保障通信網(wǎng)絡(luò)的正常運行。

· 為用戶提供更安全的網(wǎng)絡(luò)環(huán)境，更穩(wěn)定的網(wǎng)絡(luò)服務(wù)。

DHCP Snooping的基本原理

DHCP Snooping能夠?qū)崿F(xiàn)如下基本功能：

信任功能

DHCP Snooping的信任功能，能夠保證客戶端從合法的服務(wù)器獲取IP（Internet Protocol）地址。

網(wǎng)絡(luò)中如果存在私自架設(shè)的DHCP Server仿冒者，則可能導(dǎo)致DHCP客戶端獲取錯誤的IP地址和網(wǎng)絡(luò)配置參數(shù)，無法正常通信。DHCP Snooping信任功能可以控制DHCP服務(wù)器應(yīng)答報文的來源，以防止網(wǎng)絡(luò)中可能存在的DHCP Server仿冒者為DHCP客戶端分配IP地址及其他配置信息。

DHCP Snooping信任功能將接口分為信任接口和非信任接口：

· 信任接口正常接收DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報文。

· 非信任接口在接收到DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報文后，丟棄該報文。

分析功能

開啟DHCP Snooping功能后，設(shè)備能夠通過分析DHCP的報文交互過程，生成DHCP Snooping綁定表，綁定表項包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口及該接口所屬的VLAN（Virtual Local Area Network）等信息。

DHCP Snooping綁定表根據(jù)DHCP租期進(jìn)行老化或根據(jù)用戶釋放IP地址時發(fā)出的DHCP Release報文自動刪除對應(yīng)表項。

出于安全性的考慮，管理員需要記錄用戶上網(wǎng)時所用的IP地址，確認(rèn)用戶申請的IP地址和用戶使用的主機的MAC地址的對應(yīng)關(guān)系。在設(shè)備通過DHCP Snooping功能生成綁定表后，管理員可以方便的記錄DHCP用戶申請的IP地址與所用主機的MAC地址之間的對應(yīng)關(guān)系。

由于DHCP Snooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系，故通過對報文與DHCP Snooping綁定表進(jìn)行匹配檢查，能夠有效防范非法用戶的攻擊。

為了保證設(shè)備在生成DHCP Snooping綁定表時能夠獲取到用戶MAC等參數(shù)，DHCP Snooping功能需應(yīng)用于二層網(wǎng)絡(luò)中的接入設(shè)備或第一個DHCP Relay上。

DHCP Snooping支持的Option82功能

概述

在傳統(tǒng)的DHCP動態(tài)分配IP地址過程中，DHCP Server不能夠根據(jù)DHCP請求報文感知到用戶的具體物理位置，以致同一VLAN的用戶得到的IP地址所擁有的權(quán)限是完全相同的。由于網(wǎng)絡(luò)管理者不能對同一VLAN中特定的用戶進(jìn)行有效的控制，即不能夠控制客戶端對網(wǎng)絡(luò)資源的訪問，這將給網(wǎng)絡(luò)的安全控制提出了嚴(yán)峻的挑戰(zhàn)。

RFC 3046定義了DHCP Relay Agent Information Option（Option 82），該選項記錄了DHCP Client的位置信息。DHCP Snooping設(shè)備或DHCP Relay通過在DHCP請求報文中添加Option82選項，將DHCP Client的精確物理位置信息傳遞給DHCP Server，從而使得DHCP Server能夠為主機分配合適的IP地址和其他配置信息，實現(xiàn)對客戶端的安全控制。

Option82包含兩個常用子選項Circuit ID和Remote ID。其中Circuit ID子選項主要用來標(biāo)識客戶端所在的VLAN、接口等信息，Remote ID子選項主要用來標(biāo)識客戶端接入的設(shè)備，一般為設(shè)備的MAC地址。

設(shè)備作為DHCP Relay時，使能或未使能DHCP Snooping功能都可支持Option82選項功能，但若設(shè)備在二層網(wǎng)絡(luò)作為接入設(shè)備，則必須使能DHCP Snooping功能方可支持Option82功能。

Option82選項僅記錄了DHCP用戶的精確物理位置信息并通過DHCP請求報文中將該信息發(fā)送給DHCP Server。而如果需要對不同的用戶部署不同的地址分配或安全策略，則需DHCP Server支持Option82功能并在其上已配置了IP地址分配或安全策略。

Option82選項攜帶的用戶位置信息與DHCP Snooping綁定表記錄的用戶參數(shù)是兩個相互獨立的概念，沒有任何關(guān)聯(lián)。Option82選項攜帶的用戶位置信息是在DHCP用戶申請IP地址時（此時用戶還未分配到IP地址），由設(shè)備添加到DHCP請求報文中。DHCP Snooping綁定表是在設(shè)備收到DHCP Server回應(yīng)的DHCP Ack報文時（此時已為用戶分配了IP地址），設(shè)備根據(jù)DHCP Ack報文信息自動生成。

實現(xiàn)

設(shè)備作為DHCP Relay或設(shè)備在二層網(wǎng)絡(luò)作為接入設(shè)備并使能DHCP Snooping功能時均可支持Option82功能。使能設(shè)備的Option82功能有Insert和Rebuild兩種方式，使能方式不同設(shè)備對DHCP請求報文的處理也不同。

· Insert方式：當(dāng)設(shè)備收到DHCP請求報文時，若該報文中沒有Option82選項，則插入Option82選項；若該報文中含有Option82選項，則判斷Option82選項中是否包含remote-id，如果包含，則保持Option82選項不變，如果不包含，則插入remote-id。

· Rebuild方式：當(dāng)設(shè)備收到DHCP請求報文時，若該報文中沒有Option82選項，則插入Option82選項；若該報文中含有Option82選項，則刪除該Option82選項并插入管理員自己在設(shè)備上配置的Option82選項。

對于Insert和Rebuild兩種方式，當(dāng)設(shè)備接收到DHCP服務(wù)器的響應(yīng)報文時，處理方式一致。

· DHCP響應(yīng)報文中有Option82選項：

§ 如果設(shè)備收到的DHCP請求報文中沒有Option82選項，則設(shè)備將刪除DHCP響應(yīng)報文中的Option82選項，之后轉(zhuǎn)發(fā)給DHCP Client。

§ 如果設(shè)備收到的DHCP請求報文中有Option82選項，則設(shè)備將DHCP響應(yīng)報文中的Option82選項格式還原為DHCP請求報文中的Option82選項，之后轉(zhuǎn)發(fā)給DHCP Client。

· DHCP響應(yīng)報文不含有Option82選項：直接轉(zhuǎn)發(fā)。

艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運維,網(wǎng)站運維服務(wù)

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：攻擊防范-網(wǎng)絡(luò)運維

下一篇：IP源防攻擊-網(wǎng)絡(luò)運維

相關(guān)文章