湯小康

（廣東財(cái)經(jīng)大學(xué)信息化建設(shè)與管理辦公室 廣東 510320）

0 引言

校園網(wǎng)中，DHCP（Dynamic Host Configuration Protoco1，動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)是一種非常常見的服務(wù)，該服務(wù)主要是自動(dòng)為網(wǎng)絡(luò)中的終端設(shè)備提供必要的網(wǎng)絡(luò)參數(shù)如IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等信息，簡化了計(jì)算機(jī)等終端的地址配置工作。然而，由于DHCP報(bào)文在客戶端和服務(wù)器的交互過程沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)中存在多臺(tái)DHCP服務(wù)器，校園網(wǎng)中的用戶有可能從非法DHCP服務(wù)器獲得地址信息，從而導(dǎo)致網(wǎng)絡(luò)中地址混亂，影響校園網(wǎng)正常運(yùn)行。

利用交換機(jī)的DHCP監(jiān)聽特性，合理配置交換機(jī)相應(yīng)端口參數(shù)，可以防止校園網(wǎng)中非法DHCP服務(wù)器為客戶端分配錯(cuò)誤的IP地址信息，僅允許合法的DHCP服務(wù)器為客戶端提供服務(wù)。

1 DHCP Snooping

DHCP Snooping，意為DHCP 窺探，在一次客戶端動(dòng)態(tài)獲取IP地址的過程中，通過對客戶端和服務(wù)器之間的DHCP交互報(bào)文進(jìn)行窺探，實(shí)現(xiàn)對用戶的監(jiān)控，同時(shí)DHCP Snooping起到一個(gè)DHCP 報(bào)文過濾的功能，通過合理的配置實(shí)現(xiàn)對非法服務(wù)器的過濾，防止用戶端獲取到非法DHCP服務(wù)器提供的地址而無法上網(wǎng)。

由于DHCP獲取IP的交互報(bào)文是使用廣播的形式，從而存在著非法的DHCP服務(wù)影響用戶正常IP的獲取，更有甚者通過非法的DHCP服務(wù)欺騙竊取用戶信息的現(xiàn)象，為了防止非法的DHCP服務(wù)的問題，DHCP Snooping把端口分為兩種類型，TRUST口和UNTRUST口，設(shè)備只轉(zhuǎn)發(fā)TRUST口收到的DHCP應(yīng)答報(bào)文，而丟棄所有來自UNTRUST口的DHCP應(yīng)答報(bào)文，這樣我們把合法的DHCP Server連接的端口設(shè)置為TRUST口，則其他口為UNTRUST口，就可以實(shí)現(xiàn)對非法DHCP Server的屏蔽。

當(dāng)網(wǎng)絡(luò)中存在DHCP服務(wù)器欺騙的時(shí)候就可以考慮采用這個(gè)功能，比如網(wǎng)絡(luò)中有個(gè)別終端用的是window 2003或者2008系統(tǒng)默認(rèn)開啟了DHCP服務(wù)，或者是一些接入層的端口連接有TPLINK、DLINK這樣的無線路由器，并開啟了DHCP服務(wù)。推薦在用戶接入層交換機(jī)上面部署該功能，越靠近PC端口控制的越準(zhǔn)確，而每個(gè)交換機(jī)的端口推薦只連接一臺(tái)PC，否則如果交換機(jī)某端口下串接一個(gè)HUB，在HUB上連接了若干PC的話，那么如果湊巧該HUB下發(fā)生DHCP欺騙，由于欺騙報(bào)文都在HUB端口間直接轉(zhuǎn)發(fā)了，沒有受到接入層交換機(jī)的DHCP Snooping功能的控制，這樣的欺騙就無法防止了。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

2 DHCP Snooping配置

2.1 組網(wǎng)拓?fù)?/h3>

網(wǎng)絡(luò)拓?fù)淙鐖D1所示，核心交換機(jī)連接DHCP Server，接入交換機(jī)的G0/49端口上聯(lián)至核心，下聯(lián)計(jì)算機(jī)PC使用DHCP服務(wù)獲取IP地址。核心交換機(jī)為銳捷S6810，接入交換機(jī)為銳捷S2352。

2.2 網(wǎng)絡(luò)環(huán)境及故障描述

由于我校的無線網(wǎng)絡(luò)尚在建設(shè)階段，而隨著手機(jī)、IPAD等移動(dòng)智能終端的發(fā)展，用戶對于無線網(wǎng)絡(luò)的需求日趨明顯，因此很多用戶會(huì)在一些免認(rèn)證的區(qū)域自己搭建一個(gè)熱點(diǎn)，直接在校園網(wǎng)端口上連接一個(gè)類似于TP-LINK這樣的無線路由器，而大部分用戶又缺乏專業(yè)的網(wǎng)絡(luò)知識(shí)，連接的無線路由器通常都使用了默認(rèn)的配置，而路由器默認(rèn)的配置通常都會(huì)開啟DHCP服務(wù)為通過它連接校園網(wǎng)的終端分配IP地址，而這樣的配置往往是導(dǎo)致發(fā)生DHCP欺騙的根源。

在圖1中，如果用戶沒有連接TP-LINK路由器，PC1和PC2都會(huì)由DHCP Server來提供IP地址等網(wǎng)絡(luò)參數(shù)，而當(dāng)網(wǎng)絡(luò)接入了TP-LINK無線路由器并開啟DHCP服務(wù)，這時(shí)PC1和PC2都會(huì)接收由TP-LINK分配的IP地址等網(wǎng)絡(luò)參數(shù)，PC2通過TP-LINK可以正常上網(wǎng)，而PC1是直接連接校園網(wǎng)但是卻得到了錯(cuò)誤的IP地址及網(wǎng)絡(luò)參數(shù)導(dǎo)致無法連接校園網(wǎng)，這時(shí)候就發(fā)生了DHCP欺騙。

2.3 解決方法

利用DHCP Snooping可以防止上述DHCP欺騙的發(fā)生，只需在接入交換機(jī)全局開啟DHCP Snooping功能并設(shè)置G0/49為TRUST口，由于F0/2為UNTRUST口，由TP-LINK所發(fā)出的DHCP應(yīng)答報(bào)文將無法通過，從而實(shí)現(xiàn)對非法DHCP Server的屏蔽。

2.4 配置步驟

（1）在接入交換機(jī)上開啟dhcp snooping功能

Switch>enab1e

Switch#configure termina1

Switch（config）#ip dhcp snooping

（2）連接DHCP服務(wù)器的接口配置為TRUST口

Switch（config）#interface gigabitEthernet 0/49

Switch（config-GigabitEthernet 0/49）#ip dhcp snooping trust

（3）保存配置

Switch（config-GigabitEthernet 0/49）#end

Switch#write

3 總結(jié)

使用DHCP Snooping技術(shù)可以有效地防范校園網(wǎng)中非法DHCP服務(wù)器的接入，但是前提是網(wǎng)絡(luò)中使用的交換機(jī)必須支持DHCP Snooping功能及信任端口配置，如果交換機(jī)不支持DHCP Snooping功能，就只能通過其他的方法如端口隔離、接入層ACL、接入認(rèn)證來進(jìn)行防范。

[1]孫中廷.趙玉艷.非法DHCP帶來的災(zāi)害及防范措施[J].辦公自動(dòng)化.2009.

[2]孫中全，陳開兵..基于交換機(jī)阻止非法DHCP服務(wù)器攻擊的實(shí)現(xiàn)[J].滁州職業(yè)技術(shù)學(xué)院學(xué)報(bào).2014.

[3]曹忠華.使用DHCP Snooping技術(shù)屏蔽校園網(wǎng)中非法DHCP服務(wù)器[J].中國教育信息化.2011.

[4]王景明.校園局域網(wǎng)非法 DHCP接入問題的研究與解決辦法[J].電腦知識(shí)與技術(shù).2014.

[5]馬素芬，顧婷婷.校園網(wǎng)中非法 DHCP服務(wù)器的防范措施研究[J].信息通信.2014.