免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

DHCP服務如何配置才能盡量減少被攻擊的可能

2021-02-27    分類: 網站建設

DHCP Snooping是啥?

DHCP Snooping是DHCP的一種安全特性,用來保證DHCP客戶端能夠正確的從DHCP服務器獲取IP地址,防止網絡中針對DHCP的攻擊。

DHCP Snooping是如何防止DHCP攻擊的呢?

DHCP,動態主機配置協議,在IPv4網絡中為客戶端動態分配IP地址,采用客戶端/服務器通信模式,由客戶端(DHCP Client)向服務器(DHCP Server)提出申請,服務器返回為客戶端分配的IP信息,包括IP地址、缺省網關、DNS Server等參數。


DHCP組網中包括以下兩種角色:

  1. DHCP客戶端(DHCP Client):通過DHCP協議請求獲取IP地址的設備,如IP電話、PC等。
  2. DHCP服務器(DHCP Server):負責為DHCP客戶端分配IP地址的設備。

DHCP常見攻擊方式


DHCP Server仿冒攻擊:非法用戶通過仿冒DHCP Server,為客戶端分配錯誤的IP地址,導致客戶端無法正常接入網絡。

DHCP報文仿冒攻擊:

1、已獲取到IP地址的合法用戶通過向服務器發送DHCP Request報文用以續租IP地址。非法用戶冒充合法用戶不斷向DHCP Server發送DHCP Request報文來續租IP地址,導致到期的IP地址無法正常回收,新的合法用戶不能再獲得IP地址。

2、已獲取到IP地址的合法用戶通過向服務器發送DHCP Release報文用以釋放IP地址。非法用戶仿冒合法用戶向DHCP Server發送DHCP Release報文,使合法用戶異常下線。

DHCP報文泛洪攻擊:

非法用戶在短時間內發送大量DHCP報文,使DHCP Server無法正常處理報文,從而無法為客戶端分配IP地址。

DHCP Server拒絕服務攻擊

1、非法用戶通過惡意申請IP地址,使DHCP服務器中的IP地址快速耗盡,無法為合法用戶再分配IP地址

2、DHCP Server通常僅根據DHCP Request報文中的CHADDR(Client Hardware Address)字段來確認客戶端的MAC地址。非法用戶通過不斷改變CHADDR字段向DHCP Server申請IP地址,使DHCP服務器中的IP地址快速耗盡,無法為合法用戶再分配IP地址。

DHCP Server仿冒攻擊

配置接入交換機與DHCP Server相連的接口為信任接口,只有信任接口能夠接收和轉發DHCP報文。

DHCP報文仿冒攻擊

在DHCP Server為客戶端分配IP地址過程中,根據DHCP報文生成DHCP Snooping綁定表,該綁定表記錄MAC地址、IP地址、租約時間、VLAN ID、接口等信息,然后通過DHCP報文與綁定表的合法性檢查,丟棄非法報文,防止DHCP報文仿冒攻擊。

DHCP報文泛洪攻擊

限制DHCP報文上送CPU的速率。

DHCP Server拒絕服務攻擊

1、通過限制DHCP Snooping綁定表的個數,限制用戶接入數。當用戶數達到指定值時,任何用戶將無法通過此接口申請到IP地址。

2、通過檢查DHCP Request報文幀頭MAC與DHCP數據區中CHADDR字段的一致性,丟棄不一致的報文,防止非法用戶攻擊。

DHCP Snooping的各種防御方法應該怎么配置呢?


DHCP PC1和DHCP PC2通過SwitchA向DHCP Server申請IP地址。通過在SwitchA上配置DHCP Snooping功能,防止以下類型的攻擊:

  1. DHCP Server仿冒攻擊
  2. DHCP報文仿冒攻擊
  3. DHCP報文泛洪攻擊
  4. DHCP Server拒絕服務攻擊、

S交換機的配置方法如下:

1、全局和接口下使能DHCP Snooping功能。

[SwitchA] dhcp enable //需要先全局使能DHCP功能[SwitchA] dhcp snooping enable[SwitchA] interface gigabitethernet 0/0/1[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable[SwitchA-GigabitEthernet0/0/1] quit[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable[SwitchA-GigabitEthernet0/0/2] quit

2、連接DHCP Server的接口配置為信任接口,防止DHCP Server仿冒者攻擊。

[SwitchA] interface gigabitethernet 0/0/4[SwitchA-GigabitEthernet0/0/4] dhcp snooping enable[SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted[SwitchA-GigabitEthernet0/0/4] quit

3、DHCP報文與綁定表的合法性檢查,防止DHCP報文仿冒攻擊。

[SwitchA] dhcp enable[SwitchA] dhcp snooping check dhcp-request enable vlan 10 //對VLAN 10內的用戶進行合法性檢查

4、限制DHCP報文上送CPU的個數,防止DHCP報文泛洪攻擊。

[SwitchA] dhcp snooping check dhcp-rate enable //使能對DHCP報文上送CPU的速率檢測功能[SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多處理90個DHCP報文

5、配置DHCP Snooping綁定表個數和DHCP Request報文幀頭源MAC地址與CHADDR字段一致性檢查功能,防止DHCP Server拒絕服務攻擊。

[SwitchA] dhcp snooping max-user-number 2 vlan 10 //配置VLAN 10內只允許兩個用戶接入[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10 
 

網站題目:DHCP服務如何配置才能盡量減少被攻擊的可能
分享地址:http://m.newbst.com/news8/103208.html

成都網站建設公司_創新互聯,為您提供ChatGPT網站排名網站改版品牌網站建設動態網站網站設計

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

成都app開發公司