本文轉載自【微信公眾號:通信百科,ID:Txbaike】經微信公眾號授權轉載,如需轉載與原文作者聯繫
「為什麼即使我的筆記本電腦已經動態獲取IP位址,我也不能訪問網絡?」 您在日常生活中遇到過這個問題嗎?您懷疑IP位址的真實性嗎?是否來自授權的DHCP伺服器?如果沒有,如何防止這種情況發生?在這篇文章中,將引入術語DHCP監聽以幫助用戶避免非法IP位址。
什麼是DHCP監聽?
DHCP的全稱Dynamic Host configuration protocol, 動態主機配置協議。而DHCP偵聽是網絡交換機系統中的第2層安全技術,該技術會丟棄被確定為不可接受的DHCP通信。DHCP監聽可防止未經授權的(惡意)DHCP伺服器向DHCP客戶端提供IP位址。DHCP監聽功能執行以下活動:
驗證來自不受信任來源的DHCP消息並過濾掉無效消息。建立並維護DHCP監聽綁定資料庫,該資料庫包含有關具有租用IP位址的不受信任主機的信息。利用DHCP監聽綁定資料庫來驗證來自不受信任主機的後續請求。DHCP監聽如何工作?
要弄清楚DHCP監聽的工作方式,我們必須了解DHCP的工作機制,該機制代表動態主機配置協議。啟用DHCP後,沒有IP位址的網絡設備將通過以下四個階段與DHCP伺服器「交互」。
(圖片來源於網絡)
我們可以用如下方式形象地解釋:
(圖片來源於網絡)
另外,DHCP監聽通常將交換機上的接口分為兩類:可信埠和不可信埠,如圖2所示。可信埠是DHCP伺服器消息可信的埠或源。不受信任的埠是不信任DHCP伺服器消息的埠。如果啟動了DHCP監聽,則只能通過受信任的埠發送DHCP提供消息。否則,它將被丟棄。
DHCP監聽可防止常見攻擊
DHCP欺騙攻擊
當攻擊者嘗試響應DHCP請求並嘗試將其自身(欺騙)列為默認網關或DNS伺服器,從而在中間攻擊中發起人員攻擊時,就會發生DHCP欺騙。這樣一來,他們就有可能在轉發給真實網關之前攔截來自用戶的流量,或者通過向真實DHCP伺服器發送請求來阻塞IP位址資源來執行DoS。
DHCP飢餓攻擊
DHCP飢餓攻擊通常以網絡DHCP伺服器為目標,目的是使用欺騙性的源MAC地址向授權的DHCP伺服器發送DHCP REQUEST消息。DHCP伺服器將通過分配可用的IP位址來響應所有請求(不知道這是DHCP飢餓攻擊),從而導致DHCP池耗盡。
如何啟用DHCP監聽?
DHCP監聽僅適用於有線用戶。作為訪問層安全功能,通常在包含DHCP服務的VLAN中包含訪問埠的任何交換機上啟用此功能。部署DHCP監聽時,需要在希望保護的VLAN上啟用DHCP監聽之前,設置可信埠(合法DHCP伺服器消息將通過的埠)。
結論
儘管DHCP簡化了IP尋址,但同時也引發了安全問題。為了解決這些問題,DHCP監聽是一種保護機制,可以防止來自惡意DHCP伺服器的無效DHCP地址,並且可以抵禦試圖用盡所有現有DHCP地址的資源耗盡攻擊。