DHCP snooping总结

DHCP服务已是网络中必不可少的服务之一。随着DHCP服务的部署,一些安全问题也逐渐暴露出一些问题:

DHCP报文泛红攻击

仿冒DHCP报文攻击

DHCP仿冒者攻击

DHCP server拒绝服务攻击

仿冒DHCP服务器攻击

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

这里要注意的是:DHCP snooping 只是会动态的生成绑定表......

IP地址冲突导致的用户断网

当用户通过交换机接入网络与网关(路由器)进行通信,如下图:

当PC1正常上网,另外一个用户PC2仿冒PC1的IP地址接入网络,此时会出现什么情况呢?

  • 仿冒者可以正常上网
  • 正常用户被踢下线

动态ARP检测(DAI)

网络中针对ARP的攻击层出不穷,中间人攻击是常见的ARP欺骗攻击方式之一。

中间人攻击(Man-in-the-middle attack)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。

如图所示,是中间人攻击的一个场景。攻击者主动向UserA发送伪造UserB的ARP报文,导致UserA的ARP表中记录了错误的UserB地址映射关系,攻击者可以轻易获取到UserA原本要发往UserB的数据;同样,攻击者也可以轻易获取到UserB原本要发往UserA的数据。这样,UserA与UserB间的信息安全无法得到保障。