唐磊

（重慶三峽職業(yè)學院信息化建設辦公室，重慶404155）

1 概述

我校某辦公樓內出現(xiàn)計算機使用撥號客戶端連接上網(wǎng)提示“當前網(wǎng)絡不可達，請稍后認證”，無法認證上網(wǎng)。使用ping 命令檢查網(wǎng)絡連通性，發(fā)現(xiàn)該辦公樓的網(wǎng)關地址正常連通，但獲取的DNS 地址為192.168.1.1，導致無法通過認證。手動配置計算機的IP 地址為192.168.1.250，網(wǎng)關地址為192.168.1.1，在瀏覽器中輸入http://192.168.1.1，可以訪問無線路由器的管理界面（如圖1 所示）。將計算機的DNS 地址配置為61.128.128.68，能正常認證上網(wǎng)，因此斷定網(wǎng)絡故障是由局域網(wǎng)內接入無線路由器引發(fā)的偽造DHCP 服務器攻擊所致。

圖1 路由器管理界面

2 問題原因分析

產(chǎn)生上述問題的原因是：客戶機通過廣播方式發(fā)送DHCP請求尋找DHCP 服務器，DHCP 服務器接收到客戶機的IP 租約請求時，同時提供IP 租約給客戶機?？蛻魴C收到IP 租約時，同時發(fā)送DHCPREQUEST 消息。當DHCP 服務器收到消息后，同時完成DHCP 分配。由于局域網(wǎng)中同時存在多個DHCP 服務器，所有DHCP 服務器都收到計算機發(fā)送的DHCP 請求，互相爭奪DHCP 提供權，導致計算機獲取到偽裝DHCP 服務器的IP地址，從而無法上網(wǎng)。

3 解決方法

對于偽造DHCP 服務器，本文采用的解決方法步驟如下：

第一步：在故障電腦上命令提示符中輸入arp -a 命令，在出現(xiàn)的IP 地址與物理地址列表信息中，查找到IP 地址192.168.1.1 的物理地址為be-5f-f6-01-a8-12，此物理地址為路由器所對應的硬件MAC 地址。如圖2 所示。

第二步：使用telnet 命令登錄AC，通過display wlan client |in be5f-f601-a812 命令查看該無線路由器接入的AP，命令執(zhí)行如下：

再次使用命令 display wlan ap all address | in e-4f-410-sh，可知該無線路由器通過名稱為e-4f-410-shiwai 的AP 接入，該AP 的物理地址為1cab-34c5-c340。

圖2 ARP 緩存列表

第三步：使用telnet 命令登錄到E 棟的匯聚交換機，通過display mac-address 1cab-34c5-c340 命令查看該AP 的MAC 地址表項，命令執(zhí)行情況如下：

從命令執(zhí)行情況可知，該AP 的MAC 地址所對應的交換機端口號為GE1/0/18。因為交換機在收到數(shù)據(jù)幀后，首先記錄其源MAC 地址和對應接口到MAC 表中，然后會檢查自己的MAC表中是否有數(shù)據(jù)幀中目標MAC 地址的信息，通過該原理可找到該AP 所對應的交換機端口。

第四步：通過shutdown 命令關閉GE1/0/18 端口，將無線路由器接入的AP 與內網(wǎng)通信阻斷。要想從根本上解決無線局域網(wǎng)內偽造DHCP 服務器攻擊，則要在交換機中開啟DHCP Snooping 功能。為防止非法DHCP 服務的問題，DHCP Snooping把端口分為兩種類型，TRUST 端口和UNTRUST 端口，設備只轉發(fā)TRUST 端口收到的DHCP 應答報文，丟棄所有來自UNTRUST 端口的應答報文，實現(xiàn)對偽造DHCP 服務器的屏蔽。配置命令如下：

匯聚交換機：

其它接入端口（上聯(lián)口除外）配置方法同上。

接入交換機：

其它接入端口（上聯(lián)口除外）配置方法同上。

4 結論

通過在交換機中配置DHCP Snooping 后，已解決了局域網(wǎng)內偽造DHCP 服務器攻擊的問題。偽造DHCP 服務器攻擊是網(wǎng)絡常見故障之一。如果交換機不支持DHCP Snooping 功能，還可通過其他的方法如端口隔離、接入層ACL 和接入認證來進行防范。