精华内容
下载资源
问答
  • 网络安全——局域网内网络攻击手段(MAC地址攻击、ARP攻击、DHCP攻击
    千次阅读
    2021-06-24 20:43:08

    网络安全一直是信息安全的重要内容,而局域网安全又往往是网络安全的一个重要组成部分。局域网内有哪些攻击攻击手段呢?今天主要介绍MAC地址攻击、ARP攻击、DHCP攻击等攻击的原理。要看懂本文,需要有一定的局域网内交换知识、DHCP原理等的理解。

    一、MAC地址攻击

    1、MAC地址洪范攻击
    所谓MAC地址洪范攻击,就是攻击者向局域网内发送大量伪造MAC地址的数据包,意图占满局域网内交换机的MAC地址转发表。由于交换机MAC地址表往往都具有一定的空间限制,当MAC地址表被占满后,就无法学习到新的MAC地址,因此,MAC地址洪范攻击主要破坏局域网可用性。
    2、MAC地址欺骗攻击
    想对比MAC地址洪范攻击,MAC地址欺骗攻击则显得更加隐蔽。向局域网内发送大量数据包往往很容易被网络管理员察觉,而MAC地址欺骗攻击,则不会大规模的发送数据包,而是发送含有几个特定源MAC地址的数据包。
    MAC地址欺骗攻击主要是利用了局域网内交换机的转发特性和MAC地址学习特性,一般情况下,交换机不会对接收到的数据包进行检查和验证,并且其MAC地址表的学习也容易被攻击者所利用。因此,攻击者往往发送含有其他人MAC地址的数据包,让交换机误认为自己是网络中的另一台机器,从而将本来属于该台机器的数据包转发给攻击者。
    下面举一个简单的例子:
    在这里插入图片描述
    这是一个简单的局域网,SW1连接两个用户和一个路由器,路由器端口的IP地址作为用户的网关。假设攻击者要攻击正常用户并想要窃取其上网的信息,那么攻击者会发送一个源MAC为网关的数据包,让交换机误认为网关在G0/0/3口上,这样,当PC1要访问外网时,交换机就会把PC1的数据包传递给攻击者,这样攻击者就可以获取到PC1的数据了。
    综上,不论是MAC地址欺骗攻击还是MAC地址洪范攻击,主要是攻击了局域网内的交换机,所利用的正是交换机在MAC地址学习和数据包转发方面的问题和安全方面的配置漏洞。正确的配置交换机(交换机上有诸如IPSG、port-security等手段可以检查数据包)可以在一定程度上避免防止上述攻击,采取其他技术手段,如入侵检测等,也可以对上述攻击及时预警。

    二、IP欺骗攻击

    所谓IP欺骗攻击,主要是更改自己的IP地址,以便冒充他人的身份。在局域网内,IP欺骗攻击主要用于获取其他机器的信任。比如局域网内的交换机、路由器等设备上配置了信任的IP地址,并且规定只允许信主机可以连接设备并进行管理。这样就可以采用IP欺骗攻击,来达到冒充信任主机发送信息的效果。
    在这里,要特别注意,采用IP欺骗攻击,所发送的报文总是单向的。这是因为在攻击的时候伪造了他人的IP地址,因此对方也会在响应时将数据包的目的IP地址封装成他人的IP地址,这样,如果不采取其他的方式,攻击者是不能够收到发送数据包的响应的。

    三、DHCP攻击

    在局域网内,为了方便用户上网,同时也为了方便管理,很多时候会运行DHCP服务。所谓DHCP,就是Dynamic Host configuration Protocol,即动态地址解析协议,由于DHCP协议的一些安全性上的问题,因此有时候攻击者也会利用DHCP协议对局域网进行攻击。
    1、DHCP欺骗攻击
    DHCP服务中,一个很大的安全性问题就是不对client或者是server的身份进行验证,因此,利用这一特性,就可以进行DHCP的欺骗攻击。DHCP的欺骗攻击有多种方式,主要有伪造DHCP服务器伪造DHCPclient两种。
    所谓伪造DHCP服务器,是指攻击者在网络中将自己伪造成DHCP的服务器,对用户的DISCOVER报文进行响应,并为用户分配IP地址。攻击者可以给用户分配一个可用的IP地址,但是会把自己的IP地址伪装成网关,这样用户在向其他网络发送数据包时,就会将数据包转发给攻击者,这样攻击者就可以获取到用户的上网数据了。
    注:
    ①很多人都会问当网络中同时存在两个DHCP服务器时client到底会接受谁的IP地址的问题,这和收到DHCP Server OFFER包的先后顺序和主机、DHCP类型有关,一般情况下,客户端会响应第一个收到的OFFER包,并接受该DHCP服务器所提供的IP地址。
    ②局域网内的DHCP服务器,既可以使用主机做,也可以在路由器或者交换机上配置。
    2、DHCP饥饿攻击
    DHCP饥饿攻击,则类似于MAC地址洪范攻击,主要是攻击DHCP服务器的可用性。DHCP饥饿攻击也有很多种形式,下面主要介绍2种。

    1. 不断发起DHCP请求从而耗尽DHCP服务器资源
      DHCP服务器所能提供的地址是有限的,如果攻击者大量的伪造主机,向DHCP服务器发起IP地址请求,就可以耗尽DHCP服务器的资源,使得合法用户无法获得DHCP服务器的服务。这样的攻击可以有两种形式,一种是只伪造DHCP报文中的CHADDR地址,另一种是同时伪造链路层源MAC地址和DHCP报文中的CHADDR地址。
    2. 向DHCP服务器大量发送DHCP报文以耗尽DHCP服务器资源
      这种方式类似于DOS攻击,不过这种攻击方式发送的是正常的DHCP报文,在第一种攻击被管理员限制无法奏效的情况下即可使用这种攻击方式。

    注意:DHCP饥饿攻击可以与DHCP欺骗攻击配合使用,即先进行DHCP饥饿攻击耗尽网络内DHCP服务器的资源,使之无法正常响应client的请求,然后进行DHCP欺骗攻击,伪装成DHCP服务器以欺骗其他用户。

    四、ARP攻击

    ARP协议是在局域网内通信的重要协议,然而ARP协议在设计时具有一定的安全性问题,也经常被攻击者利用对局域网内设备进行攻击。ARP攻击主要有以下两种方式:ARP欺骗攻击和ARP洪范攻击。
    1、ARP欺骗攻击
    所谓ARP欺骗攻击,就是发送攻击者假的ARP报文,使被攻击者在进行ARP解析的时候,将IP地址映射到错误MAC地址上。攻击者可以利用这种攻击方式截获攻击者的数据包。
    2、ARP洪范攻击
    所谓ARP洪范攻击,就是攻击者大量发送虚假的ARP解析报文,对于一个主机来说,ARP表项也是有空间大小限制的,当收到过多的ARP条目时,主机本地ARP表就会被占满,从而导致无法学习到正常ARP表项。
    原创不易,转载请说明出处,原文链接:https://blog.csdn.net/weixin_40228200/article/details/118162571

    更多相关内容
  • 文章目录引入中继实验1中继实验2DHCP攻击实验攻击3种类型攻击实验 引入 1.DHCP客户端初次接入网络时,会发送DHCP发现报文(DHCP Discover),用于查找和定位DHCP服务器。 2.DHCP服务器在收到DHCP发现报文后,发送...

    引入

    1.DHCP客户端初次接入网络时,会发送DHCP发现报文(DHCP Discover),用于查找和定位DHCP服务器。

    2.DHCP服务器在收到DHCP发现报文后,发送DHCP提供报文(DHCP Offer),此报文中包含IP地址等配置信息。

    3.在DHCP客户端收到服务器发送的DHCP提供报文后,会发送DHCP请求报文(DHCP Request),另外在DHCP客户端获取IP地址并重启后,同样也会发送DHCP请求报文,用于确认分配的IP地址等配置信息。
    DHCP客户端获取的IP地址租期快要到期时,也发送DHCP请求报文向服务器申请延长IP地址租期。

    4.收到DHCP客户端发送的DHCP请求报文后,DHCP服务器会回复DHCP确认报文(DHCP ACK)。客户端收到DHCP确认报文后,会将获取的IP地址等信息进行配置和使用。

    5.如果DHCP服务器收到DHCP-REQUEST报文后,没有找到相应的租约记录,则发送DHCP-NAK报文作为应答,告知DHCP客户端无法分配合适IP地址。

    6.DHCP客户端通过发送DHCP释放报文(DHCP Release)来释放IP地址。收到DHCP释放报文后,DHCP服务器可以把该IP地址分配给其他DHCP客户端。

    在这里插入图片描述

    中继实验1

    如下图,AR4充当一个中继器,AR3为server服务器
    在这里插入图片描述首先为server服务器做如下配置:
    在这里插入图片描述在这里插入图片描述其次,为咱们的中继器做如下配置,中继接口应该为接收到PC discover包的接口,故为g0/0/0:
    在这里插入图片描述最后在服务器配置返回的静态路由:
    ip route-static 192.168.10.0 24 g0/0/0 12.1.1.1

    在PC:
    在这里插入图片描述

    在这里插入图片描述在这里插入图片描述在这里插入图片描述以上就是中继

    中继实验2

    在这里插入图片描述中继器
    划分vlan
    在这里插入图片描述在这里插入图片描述在这里插入图片描述中继接口要设在网关上,所以在vlanif 10 20上设置
    在这里插入图片描述server:
    配置两个地址池
    在这里插入图片描述配置静态路由
    在这里插入图片描述PC:
    在这里插入图片描述在这里插入图片描述在这里插入图片描述

    DHCP攻击实验

    攻击3种类型

    饿死攻击:
    黑客在PC端不断地发DHCP Discover 包,直至server中的IP耗尽。
    在这里插入图片描述

    仿冒DHCP Server攻击
    私自建立服务器,把网关设成自己,所有包都经过。
    在这里插入图片描述DHCP中间人攻击
    先骗PC1:我是服务器
    再骗服务器:我是客户端

    SW2:----明明是三个人的电影 我却不配有姓名
    在这里插入图片描述好可恶!难道就没治吗?
    他来了!他带着Snooping走来了!
    在这里插入图片描述在这里插入图片描述在这里插入图片描述

    攻击实验

    在这里插入图片描述配置地址池
    在这里插入图片描述在这里插入图片描述配置好了

    KALI
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    展开全文
  • DHCP攻击与防御

    2021-10-04 14:19:23
    ipconfig /release---à释放IP ipconfig /renew------à得到IP 攻击: 配置伪DHCP服务器 然后在让PC机得到DHCP Ping 服务器10.1.1.1和查看arp表,都是不行的 这里,攻击就成功了。 防御 开启监听服务 Trust--à信任...

     

     

     

     

    配置文档:SW2

    Switch>en

    Switch#

    Switch#conf

    Switch#configure

    Configuring from terminal, memory, or network [terminal]?

    Enter configuration commands, one per line. End with CNTL/Z.

    Switch(config)#hostn SW2 ---à改交换机名为SW2

    SW2(config)#vlan 2

    SW2(config-vlan)#int range f0/1-f0/20 --------à把f0/1-f0/20端口全部划分到vlan2里面

    SW2(config-if-range)#switchport mode access

    SW2(config-if-range)#switchport access vlan 2

    SW2(config-if-range)#int f0/24

    SW2(config-if)#switchport mode trunk

    二层配置完毕,我们配置三层。

    配置文档:SW1

    Switch>en

    Switch#confit

    Switch#confit

    Translating "confit"...domain server (255.255.255.255)

    % Unknown command or computer name, or unable to find computer address

    Switch#

    Switch#config t

    Switch#config terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    Switch(config)#

    Switch(config)#hostn SW1

    SW1(config)#vlan 2

    SW1(config-vlan)#vlan 100

    SW1(config-vlan)#

    SW1(config-vlan)#int vlan 100

    SW1(config-if)#ip add 10.1.1.254 255.255.255.0

    SW1(config-if)#no shut

    SW1(config-if)#no shutdown

    SW1(config-if)#

    SW1(config-if)#int vlan 2

    SW1(config-if)#

    %LINK-5-CHANGED: Interface Vlan2, changed state to up

    %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up

    SW1(config-if)#

    SW1(config-if)#ip add 172.16.1.254 255.255.255.0

    SW1(config-if)#no s

    SW1(config-if)#no shut

    SW1(config-if)#no shutdown

    SW1(config-if)#

    SW1(config-if)#int f0/1

    SW1(config-if)#switchport mode access

    SW1(config-if)#switchport access vlan 100

    SW1(config-if)#int f0/24

    SW1(config-if)#switchport trunk encapsulation dot1q

    SW1(config-if)#switchport mode trunk

    SW1(config-if)#exit

    SW1(config)#ip routing----à启动路由功能

    配置文档:SW2

    SW2(config)#service dhcp---à启动DHCP服务

    配置文档:SW1

    SW1(config)#service dhcp---à启动DHCP服务

    做DHCP中继

    SW1(config)#int vlan 2

    SW1(config-if)#ip help

    SW1(config-if)#ip helper-address 10.1.1.1

    SW1(config-if)#

    Switch>

    Switch>

    Switch>en

    Switch#config

    Switch#config terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    Switch(config)#hostn SW2

    SW2(config)#vlan 2

    SW2(config-vlan)#int range f0/1-f0/20

    SW2(config-if-range)#sw

    SW2(config-if-range)#switchport m

    SW2(config-if-range)#switchport mode a

    SW2(config-if-range)#switchport mode access

    SW2(config-if-range)#sw

    SW2(config-if-range)#switchport a

    SW2(config-if-range)#switchport access vlan 2

    SW2(config-if-range)#int f0/24

    SW2(config-if)#sw

    SW2(config-if)#switchport m

    SW2(config-if)#switchport mode t

    SW2(config-if)#switchport mode trunk

    SW2(config-if)#

    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down

    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up

    SW2(config-if)#

    Switch>

    Switch>en

    Switch#config t

    Switch#config terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    Switch(config)#

    Switch(config)#

    Switch(config)#

    Switch(config)#

    Switch(config)#vlan 2

    Switch(config-vlan)#vlan 100

    Switch(config-vlan)#int vlan 100

    Switch(config-if)#

    %LINK-5-CHANGED: Interface Vlan100, changed state to up

    %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up

    Switch(config-if)#ip add 10.1.1.254 255.255.255.0

    Switch(config-if)#no shut

    Switch(config-if)#no shutdown

    Switch(config-if)#int vlan 2

    Switch(config-if)#

    %LINK-5-CHANGED: Interface Vlan2, changed state to up

    %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up

    Switch(config-if)#ip add 172.16.1.254 255.255.255.0

    Switch(config-if)#

    Switch(config-if)#no shut

    Switch(config-if)#no shutdown

    Switch(config-if)#

    Switch(config-if)#

    Switch(config-if)#int f0/1

    Switch(config-if)#sw

    Switch(config-if)#switchport m

    Switch(config-if)#switchport mode a

    Switch(config-if)#switchport mode access

    Switch(config-if)#sw

    Switch(config-if)#switchport a

    Switch(config-if)#switchport access vlan 100

    Switch(config-if)#int f0/24

    Switch(config-if)#sw

    Switch(config-if)#switchport tr

    Switch(config-if)#switchport trunk en

    Switch(config-if)#switchport trunk encapsulation d

    Switch(config-if)#switchport trunk encapsulation dot1q

    Switch(config-if)#sw

    Switch(config-if)#switchport m

    Switch(config-if)#switchport mode t

    Switch(config-if)#switchport mode trunk

    Switch(config-if)#exit

    Switch(config)#ip routing

    Switch(config)#

     

     

     

     

    SW2(config-if)#exit

    SW2(config)#service dhcp

    SW2(config)#

    Switch(config)#service dhcp

    Switch(config)#

    Switch(config)#hostn SW1

    SW1(config)#int vlan 2

    SW1(config-if)#ip helper

    SW1(config-if)#ip helper-address 10.1.1.1

    SW1(config-if)#

    做完了。
    然后得DHCP的ip,可以直接在网络里面图形面板选择DHCP,也可以在命令行里面搞。

    ipconfig /release---à释放IP

    ipconfig /renew------à得到IP

    攻击:

    配置伪DHCP服务器

     

     

     然后在让PC机得到DHCP

    Ping 服务器10.1.1.1和查看arp表,都是不行的

     

     

    这里,攻击就成功了。

    防御

     

    开启监听服务

    Trust--à信任

    Untrust---à不信任

    SW1(config)#ip dhcp snooping ---à开启dhcp监听

    SW1(config)#

    SW1(config)#

    SW1(config)#int f0/24     ------à设置f0/24口为信任端口

    SW1(config-if)#ip dhcp sn

    SW1(config-if)#ip dhcp snooping t

    SW1(config-if)#ip dhcp snooping trust

    SW1(config-if)#

    SW1(config-if)#

    SW1(config-if)#int f0/1

    SW1(config-if)#ip dhcp no

    SW1(config-if)#ip dhcp s

    SW1(config-if)#ip dhcp snooping t

    SW1(config-if)#ip dhcp snooping trust

    SW1(config-if)#

    SW2的设置

    W2>

    SW2>en

    SW2#

    SW2#config t

    SW2#config terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    SW2(config)#

    SW2(config)#

    SW2(config)#

    SW2(config)#

    SW2(config)#

    SW2(config)#ip dhcp sn

    SW2(config)#ip dhcp snooping

    SW2(config)#int f0/24

    SW2(config-if)#ip dhcp sn

    SW2(config-if)#ip dhcp snooping t

    SW2(config-if)#ip dhcp snooping trust

    SW2(config-if)#

    SW2(config-if)#

    展开全文
  • DHCP原理及DHCP服务器的防攻击手段

    千次阅读 多人点赞 2019-09-28 17:45:07
    一、DHCP简介 1、产生背景:网络增大,手工配置存在很多问题【人员素质要求高、容易出错、灵活性差、IP地址资源利用率低、工作量大,不利于管理等】 2、DHCP相对于静态手工配置的优点【效率高、灵活性强、易于管理...

    一、DHCP简介

    1、产生背景:网络增大,手工配置存在很多问题【人员素质要求高、容易出错、灵活性差、IP地址资源利用率低、工作量大,不利于管理等】
    2、DHCP相对于静态手工配置的优点【效率高、灵活性强、易于管理等】

    二、DHCP的原理与配置

    (一)、DHCP的基本工作过程【发现阶段、提供阶段、请求阶段、确认阶段】如下图:
    在这里插入图片描述
    【发现阶段】:在发现阶段,DHCP客户端会以广播的方式给自己所在在广播域中的DHCP服务器都发送一个DHCP Discover 报文,目的是寻找网络中的DHCP Server,并表示自己需要获得一个IP地址
    【提供阶段】:是网络中的DHCP Server响应所收到的DHCP Discover 报文,把准备提供的IP地址携带在DHCP Offer 报文中,并以单播的方式发送给DHCP 客户端(注意这里Offer 报文中携带的IP地址客户端还不能直接使用)
    【请求阶段】:DHCP客户端在收到的所有Offer 报文中选择接受第一个到达客户端的Offer(通常情况下选择第一个接收到的Offer) ,并向相应的DHCP Server 以广播的方式发送DHCP Request 报文,表示自己愿意接受该Offer (在这个DHCP Request 报文中携带有R上的DHCP Server 的标识—称为Server Identifier,表示DHCP Client 只愿意接受R上的Offer,R也是通过分析这个标识来确定DHCP Client 只愿意接受自己的Offer
    而该二层广播域中其他的DHCP服务器也会收到DHCP Client 所发出的DHCP Request 报文,它们则通过分析这个标识来确定DHCP Client 已经拒绝接受自己的Offer)
    【确认阶段】:如果在提供阶段所携带的IP地址能正常地分配给DHCP Client 使用的话,那么R会以单播的方式给DHCP Client 发送一个DHCP Ack 报文,此时DHCP Client 获取地址成功;但是如果因为一些原因,在提供阶段所携带的IP地址不能分配给DHCP Client 的话,这时R则会给DHCP Client 发送一个DHCP Nak 报文,而当DHCP Client 收到R的DHCP Nak 报文后,则表示获取IP地址失败,需要重新进入到发现阶段。

    当DHCP Client 正常获得IP地址后,如下图:
    在这里插入图片描述
    从DHCP Server 获取的IP地址有一个租约时间,DHCP协议规定租约时间缺省不少于1小时,通常情况下,租约时间缺省值为24小时。
    在DHCP协议中规定,在缺省情况下,当DHCP Client 使用IP地址到达T1时(租约时间的1/2),DHCP Client会以单播的方式给R发送一个DHCP Request 报文(请求续租),当到达时间T2(租约时间的7/8,即租约时间的87.5%)之前,若DHCP Client 收到R的DHCP Ack报文,则续租成功,重新开始租约期的计时;若没有收到,则DHCP Client 会在T2时刻再次以广播的方式发送DHCP Request 报文,请求续租,这时如果DHCP Client 在租约时间到达之前收到R的DHCP Ack报文,则续租成功,重新开始租约期的计时,如果没收到,则续租失败,DHCP Client 不能继续使用这个IP地址,需要重新从发现阶段开始向DHCP服务器申请新的IP地址
    (二)、DHCP中继
    1、DHCP中继的使用场景
    在这里插入图片描述
    从前面DHCP的工作原理我们可以知道,DHCP Client 必须和DHCP Server 在同一个二层广播域中,才能接收到彼此发送的DHCP报文,DHCP报文是无法跨越二层广播域传播的。这时,我们可以有两种方法解决这个问题:
    (1)、在网络中的每个网段都设置一台DHCP Server,但是这个方法代价较大,很不经济,造成资源的很大浪费,所以现实中一般不推荐此方法
    (2)、只设置一个DHCP Server,利用DHCP中继技术DHCP Relay 来实现一个DHCP Server 同时为多个二层广播域中的DHCP Client 服务,这样既节省成本,又便于集中管理

    2、DHCP中继的工作原理如下图:
    在这里插入图片描述
    在DHCP中继的工作原理中和前面的DHCP工作原理基本相同,只是中间DHCP Relay 负责DHCP Client 和DHCP Server 之间的DHCP报文的转发,这里要注意的是:DHCP Relay 与DHCP Client 之间是以广播的方式进行交换DHCP报文的,而DHCP Relay 与DHCP Server 之间是以单播的方式来交换DHCP报文的。

    三、DHCP服务器的防攻击手段

    (一)、DHCP服务器面临的安全威胁
    DHCP在设计上未充分考虑到安全因素,从而留下许多安全漏洞,使得DHCP很容易受到攻击。在实际网络中,针对DHCP攻击的手段主要有以下三种:
    1、DHCP饿死攻击
    在这里插入图片描述
    【攻击原理】:攻击者持续大量地向DHCP服务器申请IP地址,直到耗尽DHCP服务器地址池的IP地址,使DHCP服务器无法再给正常的主机分配IP地址
    在PC机给DHCP Server发送的DHCP Discover 报文中有一个CHADDR字段,该字段是由DHCP客户端填写的,用来表示客户端的硬件地址(MAC地址),而DHCP Server 也是根据CHADDR字段来分配IP地址的,对于不同的CHADDR,DHCP Server会分配不同的IP地址,因为DHCP Server 无法识别CHADDR的合法性,攻击者就利用这个漏洞,不断的改变CHADDR字段的值,来冒充不同的用户申请IP地址,使DHCP Server 中IP池枯竭,从而达到攻击目的。

    2、仿冒DHCP Server攻击
    在这里插入图片描述
    【攻击原理】:当攻击者私自安装并运行DHCP Server 程序后,可以将自己伪装成DHCP Server,这就是仿冒DHCP Server。它的工作原理与正常的DHCP Server 一模一样,所以当PC机接收到来自DHCP Server 的DHCP报文时,无法区分是哪个DHCP Server 发送过来的,如果PC机第一个接收到的是来自仿冒DHCP Server 发送的DHCP报文,那么仿冒DHCP Server 则会给PC机分配错误的IP地址参数,导致PC客户端无法访问网络

    3、DHCP中间人攻击
    在这里插入图片描述
    【攻击原理】:攻击者利用ARP机制,让PC-A学习到IP-S与MAC-B的映射关系,让DHCP Server 学习到IP-A与MAC-B的映射关系,如此一来,PC-A与DHCP Server之间交互的IP报文都要经过PC-B进行中转。我们这里要了解交换机在转发数据包过程中,IP地址与MAC地址的变化过程,这个类似于MAC地址欺骗。由于PC1与DHCP Server之间的IP报文都会经过攻击者PC,攻击者就能很容易窃取到IP报文中的信息,进行篡改或其他的破坏行为,从而达到直接攻击DHCP目的。

    (二)、DHCP Snooping 技术解决DHCP 饿死攻击
    为了防止DHCP受到攻击,就产生了一种DHCP Snooping的技术,但DHCP Snooping不是一种标准技术,还没有统一的标准规范,所以不同品牌的网络设备上实现DHCP Snooping也不尽相同。DHCP Snooping部署在交换机上就相当于在DHCP客户端与DHCP服务器端之间构建了一道虚拟的防火墙。
    在这里插入图片描述
    我们前面讲到DHCP饿死攻击是攻击者不断改变CHADDR的字段来实现的,为了弥补这个漏洞,阻止饿死攻击,我们在端口下配置DHCP Snooping技术,对DHCP Request报文的源MAC地址与CHADDR的字段进行检查,如果一致则转发报文,如果不一致则丢弃报文。
    配置命令为,进入连接客户端接口视图,输入命令dhcp snooping check dhcp-chaddr enable
    如下图:
    在这里插入图片描述
    但是还可能存在另一种饿死攻击,就是攻击者不断改变CHADDR,同时改变源MAC,并让CHADDR与源MAC地址相同,这样也可以躲过源MAC地址与CHADDR的一致性检查。
    (三)、DHCP Snooping 防止仿冒DHCP Server 攻击
    在这里插入图片描述
    在DHCP Snooping技术中,将交换机的端口分为两种类型,信任端口(Trusted端口)和非信任端口(Untrusted端口),交换机所有端口默认都是Untrusted端口,我们将与合法DHCP Server 相连的端口配置为Trusted端口,这样交换机从Trusted端口接收到的DHCP 报文后,会正常转发,从而保证合法的DHCP Server能正常分配IP地址及其他网络参数;而其他从Untrusted端口接收到的DHCP Server 的报文,交换机会直接丢弃,不再转发,这样可以有效地阻止仿冒的DHCP Server 分配假的IP地址及其他网络参数。

    配置命令如下:进入与DHCP Server 相连的接口视图
    [LSW2] int e0/0/2
    [LSW2-E0/0/2] dhcp snooping trusted
    如果恢复为Untrusted 端口,命令如下:
    [LSW2-E0/0/2] undo dhcp snooping trusted

    (四)、DHCP Snooping 防止DHCP中间人攻击
    在这里插入图片描述
    DHCP中间人攻击从原理上我们可以知道它其实是一种Snoofing IP/MAC攻击(ARP欺骗),所以要防止DHCP中间人攻击,就是要防止ARP欺骗。而运行DHCP Snooping的交换机会侦听(Snooping)往来于用户与DHCP Server之间的信息,并从中收集用户的MAC地址(DHCP消息中的CHADDR字段中的值)、用户的IP地址(DHCP Server分配给相应的CHADDR的IP地址)、IP地址租用期等等信息,将它们集中存放在DHCP Snooping 绑定表中,运行了DHCP Snooping的交换机会建立并动态维护DHCP Snooping绑定表。
    如上图所示,DHCP Server给PC-A 、PC-B分别分配IP-A、IP-B,那么IP-A与MAC-A就形成绑定关系,IP-B与MAC-B形成绑定关系,并存入DHCP Snooping绑定表中。这时攻击者想让Server 学习到IP-A与MAC-B的映射关系,会发送不断发送ARP请求报文(ARP报文中源IP地址填为IP-A,源MAC地址填为MAC-B)。交换机接收到这个ARP报文后,会检查它的源IP地址和源MAC地址,发现与DHCP Snooping绑定表中的条目不匹配,就丢弃该报文,这样可以有效地防止Spoofing IP/MAC攻击。
    配置命令为:
    [LSW2] arp dhcp-snooping-detect enable

    (五)、DHCP Snooping 与IPSG技术的联动
    在这里插入图片描述
    针对网络中经常存在对源IP地址进行欺骗的攻击行为(攻击者仿冒合法用户的IP地址来向服务器发送IP报文),我们可以使用IPSG(IP Source Guard)技术来防范这种攻击。在交换机使用IPSG功能后,会对进入交换机端口的报文进行合法性的检查,然后对报文进行过滤(检查合法,则转发;检查非法,则丢弃)。
    DHCP Snooping技术也可以与IPSG技术进行联动,即对于进入交换机端口的报文进行DHCP Snooping绑定表的匹配检查,如果报文的信息与绑定表一致,则允许通过,如果不一致则丢弃该报文。
    报文的检查项可以是源IP地址、源MAC地址、Vlan和物理端口号等若干组合。如在交换机的端口视图下可支持IP+MAC、IP+Vlan、IP+MAC+Vlan等组合检查,在交换机的Vlan视图下可支持:IP+MAC、IP+物理端口号、IP+MAC+物理端口号等组合检查。
    配置命令如下:
    在交换机的接口视图或VLan视图下输入命令:ip source check user-bind enable。

    四、总结

    1、熟悉DHCP服务器的工作原理,DHCP服务器工作过程中的报文的作用可以让我们对于攻击DHCP服务器的手段能更好的理解;
    2、在防范DHCP和各种攻击手段中所用到的技术,其工作原理和工作场景,我们也要非常熟悉

    展开全文
  • DHCP协议以及攻击防御

    千次阅读 2020-09-08 17:40:48
    DHCP 1.DHCP概述 DHCP是Bootstrap协议的一种扩展,基于UDP协议,客户端的端口号是68,服务器的端口号是67 Application Layer DHCP Transport Layer UDP Network Layer IP Data-link Layer NO-limited ...
  • Python 协议攻击脚本(七): DHCP攻击

    千次阅读 2019-05-18 13:49:35
    DHCP 动态主机设置协议(英语:Dynamic Host Configuration Protocol,缩写:DHCP)是一个局域网的网络协议,使用UDP协议工作 BOOTP BOOTP(Bootstrap Protocol,引导程序协议)是一种引导协议,基于IP/UDP协议,...
  • DHCP攻击的实施与防御

    千次阅读 2017-11-16 20:58:00
    原文发表于2017年第8期《网络安全与信息化》,转发到...DHCP攻击针对的目标是网络中的DHCP服务器,原理是耗尽DHCP服务器所有的IP地址资源,使其无法正常提供地址分配服务。然后在网络中再架设假冒的DHCP服务器为客户...
  • 主要是依托华为交换机和路由器配置,介绍MAC地址攻击、ARP攻击、DHCP攻击等攻击的防范。本文会把华为交换机系列防御配置命令进行介绍,适合对局域网攻击和防御技术感兴趣的同学,阅读文本,您需要对局域网交换和通信...
  • ARP、DNS、DHCP攻击方式

    2020-05-31 09:41:29
    DHCP攻击 DHCP欺骗攻击 当流氓DHCP服务器连接到网络并向合法客户端提供错误的IP配置参数时,就会发生DHCP欺骗攻击。流氓服务器可能会提供各种误导性信息: 错误的默认网关 -Threat actor提供了无效的网关或其主机的...
  • DHCP Snooping是啥?...DHCP Snooping是如何防止DHCP攻击的呢?DHCP,动态主机配置协议,在IPv4网络中为客户端动态分配IP地址,采用客户端/服务器通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出...
  • 网络 DHCP 8种报文类型

    2020-04-06 20:58:49
    网络 DHCP 8种报文类型1. DHCP Discover2. DHCP Offer3. DHCP Request4. DHCP ACK5. DHCP NAK6. DHCP Release7. DHCP Decline8. DHCP InformDHCP相关文章链接 1. DHCP Discover DHCP客户端请求地址时,并不知道DHCP...
  • DHCP报文及其格式

    2021-01-17 17:52:05
    DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)使用UDP协议工作,采用67(DHCP服务器文)和68(DHCP客户端)两个端口号。546号端口用于DHCPv6Client,而不用于DHCPv4,是为DHCPfailover服务。DHCP客户端向...
  • 我是scapy的新手,我正在尝试用它为我...在回调中,我检查数据包是否有DHCP层,然后检查请求的类型.我现在这样做:def manage(pkt):if pkt.haslayer(DHCP):req_type = [x[1] for x in pkt[DHCP].options if x[0] == 'me...
  • 通过MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。...
  • 华为 DHCPDHCP中继、DHCP snooping

    万次阅读 多人点赞 2021-02-15 22:02:28
    DHCP客户端获取地址的过程,分为四个阶段:发现阶段,提供阶段,选择阶段,确认阶段。
  • DHCP Snooping

    千次阅读 2020-02-04 11:27:03
    DHCP Snooping技术用于防范利用DHCP报文进行的攻击行为。 定义 DHCP Snooping是一种DHCP安全特性,可以过滤不信任的DHCP消息并建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型...
  • Wireshark分析DHCP

    2021-01-12 03:15:19
    DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。 IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后,该条目并不会立即消失。当客户端再次接...
  • 华为DHCP Snooping原理及其实验配置

    千次阅读 2020-11-02 00:01:48
    DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的... DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
  • DHCP服务安全配置

    2019-11-28 23:15:13
    DHCP概述 DHCP全称为动态主机配置协议,负责为客户机动态分配TCP/IP信息 IP地址、子网掩码、默认网关、首选DNS服务器…… 使用DHCP的理由 减小管理员的工作量 减小输入错误的可能 避免ip冲突 提高了IP地址的...
  • DHCP Snooping IPSG

    千次阅读 多人点赞 2020-08-10 00:09:06
    祸兮福所倚,福兮祸所伏。 ...1、总计包类型 (1)DHCP DISCOVER消息----广播----寻找DHCP服务器 (2)DHCP OFFER消息----广播----回应客户端我DHCP服务器在这呐(同时给出能给你的IP地址和GW,域.
  • ensp 做 DHCP snooping防护

    千次阅读 2020-04-16 11:53:02
    前言 1,DHCP Snooping是DHCP的一种安全特性,通过截获DHCP Client和DHCP...2,该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。 3,DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的...
  • DHCP,DNS和HTTP是3种常见的高层协议。 一,动态主机配置协议DHCP 1,DHCP简介 ...DHCP的前身是BOOTP协议(Bootstrap Protocol),BOOTP被创建出来为连接到网络中的设备自动分配地址,后来被DHCP取代了,DHC
  • DHCP详解

    万次阅读 多人点赞 2016-07-10 18:36:43
    DHCP,DNS和HTTP是3种常见的高层协议。 一,动态主机配置协议...当我们将客户主机ip地址设置为动态获取方式时,DHCP服务器就会根据DHCP协议给客户端分配IP,使得客户机能够利用这个IP上网。 DHCP的前身是BOOTP
  • DHCP协议需求背景DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。 减少网络管理 1、TCP/IP配置是集中...
  • 计算机网络之DHCP详解

    千次阅读 2020-10-05 11:08:18
    DHCP 华为eNSP 计算机网络 HCNP
  • DHCP + DHCP snooping

    2021-01-16 09:41:53
    DHCP DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。 减少网络管理 TCP/IP配置是集中化和自动完成的...
  • 2.指定端口安全类型 3.指定处罚动作 实验步骤: 老规矩 先配置二层接口 然后完成需求 LSW2 sys lsw2 vlan b 10 int e 0/0/1 p l a p d v 10 int e 0/0/3 p l t p t a v 10 LSW1 sys lsw1 vlan b 10 int g 0/0/1 p l
  • SW转发与接口类型 DHCP配置

    千次阅读 多人点赞 2020-07-18 14:07:03
    文章目录VLAN接口模式拓扑DHCP配置基础配置 VLAN 1、将接口划入vlan(注意只有接口模式为access的才可以划入vlan,华为交换机接口默认为模式,接口划入vlan前需要修改接口模式) (1)只有二层接口才可以划入vlan ...
  • DHCP Snooping是啥?...DHCP Snooping是如何防止DHCP攻击的呢?DHCP,动态主机配置协议,在IPv4网络中为客户端动态分配IP地址,采用客户端/服务器通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,579
精华内容 3,431
关键字:

dhcp攻击类型