■

DHCP使服務(wù)器能夠動態(tài)地為網(wǎng)絡(luò)中的其他終端提供IP地址，通過使用DHCP，就可以不給Intranet網(wǎng)中除DHCP、DNS和WINS服務(wù)器外的任何服務(wù)器設(shè)置和維護(hù)靜態(tài)IP地址。使用DHCP可以大大簡化配置客戶機(jī)的TCP／IP的工作，尤其是當(dāng)某些TCP／IP參數(shù)改變時，如網(wǎng)絡(luò)的大規(guī)模重建而引起的IP地址和子網(wǎng)掩碼的更改。

圖1 實驗拓?fù)浣Y(jié)構(gòu)圖

DHCP由于實施簡單，特別適合人群數(shù)量大且流動性強(qiáng)的環(huán)境，例如跨國企業(yè)、高等院校等。通過DHCP服務(wù)，不用給來訪者的終端做任何配置即可連入局域網(wǎng)。同時，由于局域網(wǎng)劃分了大量VlAN，客戶從一個 VLAN移動到另外一個VLAN也不需要改動終端的任何設(shè)置，非常方便。但是DHCP安全在網(wǎng)絡(luò)安全方面是一個不可忽略的問題，偽造DHCP服務(wù)器等攻擊時常困擾著我們網(wǎng)絡(luò)管理員。

本文通過對幾款市場上主流交換機(jī)廠商的入門級產(chǎn)品進(jìn)行實驗和比較，總結(jié)出一套應(yīng)對偽造DHCP服務(wù)器攻擊的配置方法。

本次實驗的對象是思科的2918、華為的 S2700、H3C的S1626以及銳捷的S2928G。這幾款屬于入門級產(chǎn)品，大量的應(yīng)用于工廠企業(yè)，大中院校作為接入級設(shè)備使用。實驗思路是通過一臺雜牌路由器模擬偽DHCP攻擊源，接入到網(wǎng)絡(luò)中。通過配置交換機(jī)的DHCP SnooPing功能或者端口隔離功能，實現(xiàn)對偽攻擊源的屏蔽，使其無法影響網(wǎng)絡(luò)的正常運(yùn)行。

實驗所用的交換機(jī)，因為廠商和版本不同，有些交換機(jī)并沒有DHCP SnooPing檢查功能，只能使用端口隔離技術(shù)來達(dá)到實驗?zāi)康?。實驗拓?fù)浣Y(jié)構(gòu)采用3臺同品牌交換機(jī)一組，分別用A、B、C代表，如圖1所示。

由于DHCP攻擊通常發(fā)生在一個VLAN里面，因此A、B、C三臺交換機(jī)被設(shè)置處于同一VLAN里面。

實 驗 1，思 科 2918交 換機(jī):按照拓?fù)鋱D接好以后，立刻發(fā)現(xiàn)PC1和PC2立即受到了偽DHCP攻擊源的攻擊，未獲得正確的合法地址。由于思科2918系列交換機(jī)并沒有DHCP SnooPing功能，于是在B、C交換機(jī)上所有端口（除與A保持連接的匯聚口）采用端口保護(hù)命令switchport protected。此時發(fā)現(xiàn)，PC1能正常獲取合法DHCP地址，而PC2仍然受到偽攻擊。經(jīng)分析，端口隔離僅僅對本交換機(jī)端口進(jìn)行隔離阻塞，由于與A的匯聚端口不能加入隔離組（否則網(wǎng)就不通了），偽DHCP廣播仍可通過B交換機(jī)的匯聚端口發(fā)送廣播到A交換機(jī)，再由A交換機(jī)通過與C交換機(jī)的匯聚端口下發(fā)到C交換機(jī)的所有端口，因此PC2仍舊被攻擊。由此結(jié)論，繼續(xù)對A交換機(jī)進(jìn)行設(shè)置，將A交換機(jī)上的與B、C連接的匯聚端口也使用switchport protected。此時PC2 也能正常獲取合法DHCP地址。

實 驗2，華 為S2700交換機(jī):華為此款交換機(jī)帶有DHCP SnooPing功能,按照拓?fù)鋱D接好以后，PC1、PC2均受到攻擊。對B和C交換機(jī)配置①[ ]dhcp enable②[ ]dhcp snooPing enable兩條全局命令。打開DHCP SnooPing功能。然后，分別進(jìn)入B、C與A互聯(lián)的匯聚口里面配置dhcp snooPing trusted（只信任匯聚口的DHCP廣播包）。經(jīng)測，PC1和PC2立即獲得合法DHCP地址。

實 驗 3，H3C 的 S1626：H3C這款交換機(jī)，在命令行中帶有DHCP SnooPing的命令，但經(jīng)過實際測試，對交換機(jī)沒有產(chǎn)生任何作用，應(yīng)該是跟高級交換機(jī)共用一個操作系統(tǒng)版本的緣故。因此智能采用類似思科交換機(jī)的配置策略。在B、C交換機(jī)上配置端口隔離命令port ISOlate，并應(yīng)用到除與A連接以外的所有端口。同時將A交換機(jī)上的與B、C交換機(jī)互聯(lián)的端口也配置端口隔離命令port ISOlate。經(jīng)測，PC1和PC2立即獲得合法DHCP地址。

實驗 4，銳捷 S2928G：這款銳捷交換機(jī)帶有DHCP SnooPing功能,按照拓?fù)鋱D接好以后，PC1、PC2均受到攻擊。對B和C交換機(jī)配置[] ip dhcp snooPing一條全局命令。打開DHCP SnooPing功能。然后，分別進(jìn)入B、C與A互聯(lián)的匯聚口里面配置ip dhcp snooPing trust（只 信任匯聚口的DHCP廣播包）。經(jīng)測，PC1和PC2立即獲得合法DHCP地址。

由上面的實驗得知，無論是交換機(jī)是否帶有DHCP SnooPing 功能，我們都可以通過組合端口隔離的方式來防止偽DHCP服務(wù)器攻擊。對于帶有DHCP SnooPing 功能的交換機(jī)，同時打開端口隔離命令，使用隔離技術(shù)后隔離端口之間就不會產(chǎn)生單播、廣播和組播，病毒就不會在隔離計算機(jī)之間傳播，尤其對頭痛的ARP病毒效果明顯。