摘要：局域網(wǎng)通常會配置DHCP服務器，通過DHCP服務器的使用可以方便管理員對網(wǎng)絡的管理和維護，如果攻擊者在網(wǎng)絡中架設非法的DHCP服務器，同時使正常的服務器癱瘓，可以形成中間人攻擊，獲取用戶信息。通過配置DHCP探測技術可以確保DHCP應答信息的有效性，防止攻擊者通過假DHCP服務器去響應用戶的請求，預防欺騙攻擊。

關鍵詞：Vlan；DHCP Snooping；IPSG；DAI

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 DHCP的工作原理

1.1 DHCP簡介

DHCP（動態(tài)主機設置協(xié)議，Dynamic Host Configuration Protocol）是一個自動分配IP地址及相關地址信息的協(xié)議，常用于局域網(wǎng)，當然也可以跨網(wǎng)段工作，使用UDP協(xié)議工作。使用DHCP服務器可以在網(wǎng)絡中自動分配地址及相關地址信息給客戶機，這樣可以避免管理員逐臺計算機去設置地址，同時也避免人為的錯誤。

1.2 DHCP的工作機制

DHCP的工作機制是協(xié)商實現(xiàn)的，分為4個階步驟。

第一步：發(fā)現(xiàn)階段?？蛻舳税l(fā)送DHCP Discover 消息，該消息以廣播方式發(fā)送，如果跨網(wǎng)段則需要使用中繼，通過這種方式找到正在工作中的DHCP服務器。

第二步：提供階段。DHCP服務器收到DHCP Discover 消息后，使用DHCP Offer消息應答，在該消息中包含建議客戶端使用的IP地址、子網(wǎng)掩碼、網(wǎng)關、DNS地址等信息，該消息也以廣播的方式發(fā)送。

第三步：選擇階段。客戶端如接受DHCP Offer消息則發(fā)送DHCP Request消息。當然客戶端有可能會收到網(wǎng)絡上存在的多個DHCP服務器的應答消息，這個時候會存在一個選擇的問題，客戶端往往會選擇它收到的第一個應答信息，向該機器發(fā)送DHCP Request消息。

第四步：確認階段。DHCP服務器確認所提供的地址信息會使用DHCP ACK消息應答客戶端的請求，批準客戶端使用前面第二步中的地址信息。否則，它會發(fā)送DHCP NAK信息，并且收回第二步所提供的地址。

經(jīng)過以上幾步后，最終客戶端會獲得一份地址租約，在租約規(guī)定的時間可以一直使用該地址信息。

2 DHCP欺騙攻擊

DHCP欺騙攻擊的實施過程如下：

第一步：攻擊者把沒有授權(quán)的DHCP服務器連接到交換網(wǎng)絡中的交換機端口上。

第二步：攻擊者發(fā)送大量的DHCP請求（可以視為Dos攻擊），使服務器忙于響應這些請求，最終會耗盡DHCP服務器上能夠提供的IP地址，以后沒有能力再去分配地址給合法的用戶。

第三步：非法的DHCP服務器充當原來的合法的DHCP服務器的角色，為合法的客戶端分配IP及地址信息，如果分配了假的網(wǎng)關和DNS地址，會導致客戶端的數(shù)據(jù)流流向指定的計算機，然后再發(fā)送到真正的網(wǎng)關設備，形成中間人攻擊，這樣客戶端所有上網(wǎng)的流量都要經(jīng)過這臺假的網(wǎng)關設備，攻擊者可以通過這種方式獲取用戶上網(wǎng)時輸入的賬戶信息，從而達到攻擊目的。

3 DHCP Snooping的工作原理

對于黑客使用的DHCP欺騙，可以通過交換機上的DHCP Snooping功能加以預防。通過交換機記錄通過的數(shù)據(jù)包里面的信息，特別是MAC地址與IP地址的對應關系，可以有效的防止針對內(nèi)網(wǎng)中的DHCP欺騙。

DHCP Snooping的核心有兩個方面。第一個是設置信任端口和不信任端口，可信任端口發(fā)出的DHCP應答才是有效的應答，如果交換機在不可信端口上偵測到了DHCP應答，這個時候交換機會關閉該端口，不可信端口只允許發(fā)出DHCP請求。第二個是建立DHCP綁定表，在表中每個條目中包含計算機的MAC地址、IP地址、租期、綁定類型以及客戶端所連接的端口ID信息等。如果在網(wǎng)絡中存在跨越網(wǎng)絡中的DHCP請求，這個時候可以使用DHCP Option 82，客戶端在向遠程網(wǎng)絡請求IP地址的時候會被插入Option 82，在DHCP服務器發(fā)回的響應報文中也會包含這個選項，這些選項會被中繼交換機檢查看一判斷是否是合法的報文（合法的報文應該是該選項對應的值相同），同時交換機會記錄響應的地址信息以供下次判斷時使用。

4 配置DHCP Snooping

5 結(jié)語

通過在交換機的DHCP Snooping的配置，可以有效的防止內(nèi)網(wǎng)的DHCP欺騙，從而保護內(nèi)網(wǎng)的用戶獲得正確的DHCP服務器分配的地址，而私設的DHCP服務器由于處在非信任端口，其應答的數(shù)據(jù)包會被交換機攔截，該端口會被交換機禁用。

參考文獻：

[1]美 David Hucaby.CCNP交換學習指南.人民郵電出版社.

[2]田文勇，李常先.解決DHCP環(huán)境下私自指定IP和私自搭建DHCP服務器的方法[J].福建電腦.2008.

[3]任斌.ARP攻擊分析及防御解決方法[J].長春工學院學報，2008.

[4]陳平仲.大型局域網(wǎng)中IP地址非法使用解決方案探討[J].計算機系統(tǒng)應用，2006.

[5]周明天等：TCP/IP網(wǎng)絡原理與技術[J].清華大學出版社，1993.