鄭秀琴

摘要：DHCP服務(wù)是一種非常重要的網(wǎng)絡(luò)基礎(chǔ)服務(wù)，在局域網(wǎng)中DHCP服務(wù)常常會受到DHCP Server仿冒者攻擊和各種形式的DHCP DoS攻擊，導(dǎo)致服務(wù)異常，影響用戶正常使用網(wǎng)絡(luò)。該文針對不同的DHCP攻擊類型與不同的網(wǎng)絡(luò)環(huán)境，分別制定了使用DHCP Snooping、ACL、端口隔離等技術(shù)防御DHCP安全威脅的方案。

關(guān)鍵詞：DHCP；DHCP Snooping；ACL；端口隔離

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2017）26-0040-03

DHCP作為一種網(wǎng)絡(luò)基礎(chǔ)服務(wù)，它的安全會影響整個局域網(wǎng)的正常運行。目前很多局域網(wǎng)都使用路由器+交換機或三層交換機+二層交換機的架構(gòu)來組建的，并且使用DHCP服務(wù)來管理分配IP地址。盡管DHCP提供了DHCP Snooping安全特性來保障DHCP服務(wù)的安全，但有些比較老的路由器和交換機不支持該特性。另外，局域網(wǎng)中的小路由器使用LAN口接入時，如果路由器開啟DHCP服務(wù)，也會給正常的DHCP服務(wù)造成一定的干擾。還有局域網(wǎng)中開啟VMware虛擬機，如果虛擬機以橋接的方式接入網(wǎng)絡(luò)并開啟DHCP服務(wù)的話，也會干擾原本網(wǎng)絡(luò)中的DHCP服務(wù)。本文針對不同的網(wǎng)絡(luò)環(huán)境，我們分別采取不同的安全措施，確保DHCP服務(wù)的穩(wěn)定運行。

1 DHCP服務(wù)概述

1.1 DHCP協(xié)議及其作用

DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作。DHCP協(xié)議采用Client/Server模型，主機地址的動態(tài)分配任務(wù)由主機驅(qū)動。當(dāng)DHCP服務(wù)器接收到來自網(wǎng)絡(luò)主機申請地址的信息時，才會向網(wǎng)絡(luò)主機發(fā)送相關(guān)的地址配置等信息，以實現(xiàn)網(wǎng)絡(luò)主機地址信息的動態(tài)配置。DHCP主要使用UDP67和UDP68，分別作為DHCP Server和DHCP Client的服務(wù)端口。

DHCP主要有兩個用途：一是給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址，二是給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段。使用DHCP給我們帶來很多好處，如不用人工記憶IP地址、節(jié)約IP地址、IP地址不會重復(fù)、不必擔(dān)心在配置網(wǎng)絡(luò)時輸入錯誤地址等。

1.2 DHCP 的工作原理

使用 DHCP 分配IP地址時，局域網(wǎng)中至少有一臺DHCP 服務(wù)器，DHCP客戶端獲取IP址的過程如圖1所示。

（1） DHCP發(fā)現(xiàn)： DHCP客戶端在局域網(wǎng)中發(fā)送DHCP DISCOVER廣播包，尋找可用的DHCP服務(wù)器。

（2） DHCP提供：DHCP服務(wù)器向DHCP客戶端發(fā)送DHCP OFFER單播數(shù)據(jù)包，提供一個IP租約。

（3） DHCP請求：當(dāng)DHCP客戶端收到一個IP租約提供時，會發(fā)送一個DHCP REQUEST廣播包，告訴DHCP服務(wù)器接受了這個租約提供。

（4） DHCP確認：當(dāng)DHCP服務(wù)器收到來自客戶端的DHCP REQUEST消息后，發(fā)送DHCP ACK單播數(shù)據(jù)包，確認客戶端的請求。

2 運用DHCP Snooping解決DHCP的安全問題

2.1 DHCP Snooping 的原理

DHCP Snooping 是DHCP（Dynamic Host Configuration Protocol）的一種安全特性，通過截獲DHCP Client 和DHCP Server 之間的DHCP 報文并進行分析處理，可以過濾不信任的DHCP 報文并建立和維護一個DHCP Snooping 綁定表。該綁定表包括MAC 地址、IP地址、租約時間、綁定類型、VLAN ID、接口等信息。DHCP Snooping 通過記錄DHCP Client 的IP 地址與MAC 地址的對應(yīng)關(guān)系，保證合法用戶能訪問網(wǎng)絡(luò)，作用相當(dāng)于在DHCP Client 和DHCP Server 之間建立一道防火墻。

DHCP Snooping 可以解決設(shè)備應(yīng)用DHCP 時遇到DHCP DoS攻擊、DHCP Server 仿冒攻擊、DHCP 仿冒續(xù)租報文攻擊等問題。

2.2 DHCP Snooping配置

下面以華為交換機為列，介紹DHCP Snooping的配置，對抗不同類型的DCHP攻擊。

表1為DHCP Snooping 工作模式與攻擊類型。

2.2.1 使能DHCP Snooping 功能

使能DHCP Snooping 功能的順序如下：

1） 全局使能DHCP 功能。

2） 全局使能DHCP Snooping 功能。

3） 在接口或VLAN 下使能DHCP Snooping 功能。

使能DHCP Snooping 功能的具體操作步驟為：

1） 執(zhí)行命令system-view，進入系統(tǒng)視圖。

2） 執(zhí)行命令dhcp enable，全局使能DHCP 功能。

3） 執(zhí)行命令dhcp snooping enable，全局使能DHCP Snooping 功能。

4） 執(zhí)行命令vlan vlan-id，進入VLAN 視圖。

或者執(zhí)行命令interface interface-type interface-number，進入接口視圖。

5） 執(zhí)行命令dhcp snooping enable，使能接口或VLAN 的DHCP Snooping 功能。

6） 執(zhí)行命令quit，返回到系統(tǒng)視圖。

使能DHCP Snooping 功能為后面各種DHCP Snooping配置的前提。endprint

2.2.2 配置防止DHCP Server 仿冒者攻擊

當(dāng)網(wǎng)絡(luò)中存在DHCP Server 仿冒者時，DHCP Server 仿冒者回應(yīng)給DHCP Client 仿冒信息，如錯誤的網(wǎng)關(guān)地址、錯誤的DNS 服務(wù)器、錯誤的IP 等，從而使Client 無法訪問網(wǎng)絡(luò)或訪問到不正確的網(wǎng)絡(luò)。

為了避免受到DHCP Server 仿冒者的攻擊，可以在交換機上配置DHCP Snooping 功能，把網(wǎng)絡(luò)側(cè)的接口配置為Trusted 模式，把用戶側(cè)的接口配置為Untrusted 模式，凡是從Untrusted 接口收到的DHCP Reply 報文全部丟棄。使能接口的DHCP Snooping 功能后，缺省情況下，接口為“不信任”狀態(tài)。

同時為定位DHCP Server 仿冒者，還可以配置偽DHCP Server 探測功能，通過檢查DHCP Reply 報文，獲取DHCP Server 相關(guān)信息，記入日志中，便于網(wǎng)絡(luò)管理員進行網(wǎng)絡(luò)維護。

具體操作步驟為：

1） 執(zhí)行命令system-view，進入系統(tǒng)視圖。

2） 執(zhí)行命令dhcp server detect，使能DHCP Server 探測功能。

3） 執(zhí)行命令interface interface-type interface-number，進入接口視圖，該接口為連接DHCP Server 的網(wǎng)絡(luò)側(cè)接口。或者執(zhí)行命令vlan vlan-id，進入VLAN 視圖。

4） 接口視圖下執(zhí)行命令dhcp snooping trusted ，或者VLAN 視圖下執(zhí)行命令dhcp snooping trusted interface interface-type interface-number ，配置接口為“信任”狀態(tài)。

2.2.3 配置防止改變CHADDR 值的DoS 攻擊

如果攻擊者改變的不是數(shù)據(jù)幀頭部的源MAC，而是通過改變DHCP 報文中的CHADDR值來不斷申請IP 地址，而交換機僅根據(jù)數(shù)據(jù)幀頭部的源MAC來判斷該報文是否合法，那么MAC 地址限制不能完全起作用，這樣的攻擊報文還是可以被正常轉(zhuǎn)發(fā)。

為了避免受到攻擊者改變CHADDR 值的攻擊，可以在交換機上配置DHCP Snooping 功能，檢查DHCP Request 報文中CHADDR 字段。如果該字段跟數(shù)據(jù)幀頭部的源MAC相匹配，轉(zhuǎn)發(fā)報文；否則，丟棄報文。

具體操作步驟為：

1） 執(zhí)行命令system-view，進入系統(tǒng)視圖。

2） 執(zhí)行命令interface interface-type interface-number，進入接口視圖?；蛘邎?zhí)行命令vlan vlan-id，進入VLAN 視圖。該接口為用戶側(cè)接口。

3） 執(zhí)行命令dhcp snooping check mac-address enable，配置接口或VLAN 下檢查DHCP 報文的CHADDR 值與源MAC 是否一致。缺省情況下，交換機沒有使能CHADDR 值檢查功能。

2.2.4 配置防止仿冒DHCP 續(xù)租報文攻擊

如果攻擊者通過不斷發(fā)送DHCP Request 報文來冒充用戶續(xù)租IP 地址，會導(dǎo)致一些到期的IP 地址無法正常回收。

為了避免攻擊者仿冒DHCP 續(xù)租報文進行攻擊，可以在交換機上配置綁定表，檢查DHCP Request 報文的源IP 地址、源MAC 地址、VLAN 及接口是否與綁定表中的匹配，如果找到匹配的表項，則DHCP Request 報文被正常轉(zhuǎn)發(fā)。否則，報文被丟棄。

使能Option82 功能，可以根據(jù)Option82 信息建立精確到接口的綁定表。從而避免DHCP Server 仿冒者回應(yīng)給DHCP Client 仿冒信息。在二層上應(yīng)用DHCP Snooping 時，不配置Option82 功能也可以獲得綁定表所需的接口信息。

具體操作步驟為：

1） 執(zhí)行命令system-view，進入系統(tǒng)視圖。

2） 執(zhí)行命令interface interface-type interface-number，進入接口視圖，該接口應(yīng)為用戶側(cè)接口。或者執(zhí)行命令vlan vlan-id，進入VLAN 視圖。

3） 執(zhí)行命令dhcp snooping check user-bind enable，配置接口或VLAN 下的DHCP Request報文檢查功能。缺省情況下，接口或VLAN 下沒有使能DHCP Request 報文檢查功能。該命令還可以檢查Release 報文是否匹配綁定表，以防止非法用戶冒充合法用戶釋放IP 地址。

4） 執(zhí)行命令dhcp option82 insert enable，使能Option82 功能；或者執(zhí)行命令dhcp option82 rebuild enable，使能強制插入Option82 功能。

2.2.5 配置DHCP 報文上送速率和用戶數(shù)限制

如果網(wǎng)絡(luò)中有攻擊者不斷地發(fā)送DHCP 報文，會對交換機的DHCP 協(xié)議棧造成影響。為了避免受到攻擊者發(fā)送大量DHCP 報文攻擊，可以在交換機上配置DHCP Snooping功能，檢查DHCP 報文，并限制報文的上送速率，在一定的時間內(nèi)只允許規(guī)定數(shù)目的報文上送協(xié)議棧，多余的報文將被丟棄。用戶可以在全局、VLAN 或接口下配置限制DHCP 報文上送速率，如果在全局、VLAN或接口下同時配置，有效的順序為接口優(yōu)先，VLAN 其次，最后為全局。

當(dāng)用戶數(shù)達到配置的最大用戶數(shù)限制數(shù)量，任何用戶將無法成功申請到IP 地址。為了抑制用戶惡意申請IP 地址，可配置限制用戶數(shù)的功能。endprint

對于DHCP 用戶，用戶上線后生成動態(tài)綁定表可轉(zhuǎn)化為靜態(tài)MAC，報文可以被正常轉(zhuǎn)發(fā)。對于靜態(tài)用戶，靜態(tài)綁定表無法轉(zhuǎn)化為靜態(tài)MAC，因此還必須配置靜態(tài)MAC，報文才能正常轉(zhuǎn)發(fā)。

具體操作步驟如下：

1） 執(zhí)行命令system-view，進入系統(tǒng)視圖。

2） 執(zhí)行命令dhcp snooping check dhcp-rate enable，全局使能DHCP 報文的速率檢查功能。

3） 執(zhí)行命令dhcp snooping check dhcp-rate rate，全局配置DHCP 報文的上送速率。

4） 執(zhí)行命令interface interface-type interface-number，進入接口視圖?；蛘邎?zhí)行命令vlan vlan-id，進入VLAN 視圖。

5） 執(zhí)行命令dhcp snooping check dhcp-rate enable，在接口或VLAN下使能DHCP 報文的速率檢查功能。

6） 執(zhí)行命令dhcp snooping check dhcp-rate rate，在接口或VLAN下配置DHCP 報文的上送速率。

7） 執(zhí)行命令dhcp snooping max-user-number max-user-number，配置接口或VLAN 下允許接入的最大用戶數(shù)。缺省情況下，交換機接口或VLAN 下允許接入的最大用戶數(shù)為32768。

3 運用ACL抵御DHCP Server仿冒者攻擊

在有些場合，要求一機一認證，這種情況下小路由器往往是當(dāng)作交換機用的，即不使用WAN端口接入。DHCP協(xié)議是基于物理網(wǎng)信任廣播的，如果你的路由器的DHCP功能若不關(guān)閉，會把自己作為網(wǎng)關(guān)發(fā)送這類廣播，給其他計算機分配地址，不經(jīng)意間就冒充了真正的網(wǎng)關(guān)，造成劫持，成了DHCP Server仿冒者。而有些局域網(wǎng)設(shè)備不支持DHCP Snooping特性，無法抵御這類攻擊。這種情況下我們可以根據(jù)DHCP使用的UDP端口，配置訪問控制策略，拒絕來自訪問非DCHP Server接入端口的UDP67端口。

4 隔離端口防止DHCP攻擊

在有些網(wǎng)絡(luò)環(huán)境中，局域網(wǎng)內(nèi)的主機之間是無需互相通信的，這種情況下接入交換機上可以設(shè)置端口隔離。因為端口隔離后，連接在不同端口的計算機之間不能進行通信，隔斷了局域網(wǎng)內(nèi)通過廣播傳播的病毒的傳播途徑。端口隔離技術(shù)在ISP寬帶接入中可以發(fā)揮重要作用。使用PVLAN技術(shù)也能起到相同的效果。

具體操作步驟：

1） 執(zhí)行命令system-view，進入系統(tǒng)視圖。

2） 執(zhí)行命令port-isolate mode l2，配置端口隔離模式為二層隔離三層互通。

3） 執(zhí)行命令interface interface-type interface-number，進入接口視圖。

4） 執(zhí)行命令port-isolate enable group n，配置接口的隔離功能

5 結(jié)論

針對DHCP服務(wù)的攻擊主要有DHCP Server仿冒者攻擊和各種形式的DoS攻擊，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用需求，采取不同的安全策略，確保DHCP服務(wù)的正常運行。使用ACL和端口隔離解決問題的思路，也可用于其他服務(wù)，如最近使用445等端口進行傳播的勒索病毒以及一度猖獗的ARP病毒等。

參考文獻：

[1] 孫雁杰，劉良. 基于DHCP SNOOPING的DHCP網(wǎng)絡(luò)部署[J].科技風(fēng)，2017（3）：93-114.

[2] 湯小康. 基于DHCP Snooping技術(shù)的校園網(wǎng)非法DHCP服務(wù)器的接入[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（7）：48-51.

[3] 唐磊. 端口隔離技術(shù)在校園網(wǎng)絡(luò)管理中的應(yīng)用[J]. 信息安全與技術(shù)，2015（7）：76-78.

[4] 劉小華. DHCP在校網(wǎng)應(yīng)用中的安全問題及對策研究[J]. 計算機安全，2013（2）：47-50.endprint