DHCP

文章目錄

• DHCP
• DHCP工作過程
• DHCP配置
• DHCP Relay
• 實驗
• DHCP餓死攻擊
• 仿冒DHCP Server攻擊
• DHCP中間人攻擊
• DHCP Snooping
• DHCP Snooping與IPSG技術聯動

DHCP

DHCP工作過程

DHCP請求地址

• 發現階段：客戶端通過廣播方式傳送DHCP Discover訊息，尋找DHCP伺服器，表示自己需要一個IP地址
• 提供階段：DHCP伺服器收到DHCP Discover訊息後，把可以提供的IP地址攜帶在DHCP Offer中，單播發送給客戶端
• 請求階段：客戶端收到DHCP Offer後，選擇第一個到達的Offer，並通過廣播方式向相應的DHCP伺服器傳送DHCP Request訊息，請求使用這個IP地址
• 確認階段：DHCP伺服器收到DHCP Request訊息後，該IP地址如果可以使用，會單播回覆DHCP Ack訊息，表示地址分配成功。如果不可以使用，會單播回覆DHCP Nak訊息，表示地址分配失

• 發現階段客戶端也可以通過單播、組播方式傳送DHCP Discover訊息
• 請求階段客戶端廣播發送DHCP Request訊息還可以使其他的HDCP伺服器釋放已經準備分配給客戶端的IP地址
• 思科裝置全部是廣播方式傳送報文，華為裝置是廣播—單播—廣播—單播

DHCP地址續租

• 當租期約過了1/2時，客戶端向DHCP伺服器單播發送DHCP Ruquest訊息，希望續租IP地址
• 伺服器收到後，會重新整理客戶端的地址租期時間，重新計時，併發送DHCP Ack訊息
• 如果DHCP伺服器沒有回覆，客戶端會等租期過了7/8（87.5%）時，還沒有收到DHCP伺服器的回覆，會再次廣播發送DHCP Request訊息，向所有的DHCP伺服器請求續租IP地址
• 在租期到期前，收到了DHCP Ack訊息，則續租成功，可以繼續使用該IP地址。如果沒有收到訊息，則續租失敗，不能繼續使用該IP地址

DHCP配置

基於全域性地址池

dhcp enable
ip pool HW
 gateway-list 192.168.1.1 
 network 192.168.1.0 mask 255.255.255.0 
 excluded-ip-address 192.168.1.2 
 lease day 3 hour 0 minute 0 
 dns-list 192.168.1.2 
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0 
 dhcp select global
 

基於介面

dhcp enable
interface g0/0/0
 ip address 192.168.1.1 24
 dhcp select interface
 dhcp server dns-list 192.168.1.2
 dhcp server excluded-ip-address 192.168.1.2
 dhcp server lease day 2 hour 0 minute 0 

DHCP Relay

• 客戶端廣播發送DHCP Discover訊息，DHCP Relay收到訊息後，向DHCP伺服器單播發送DHCP Discover訊息
• 伺服器收到Discover訊息後，單播回覆DHCP Offer，DHCP Relay收到後再單播發送給客戶端
• 客戶端再廣播發送DHCP Request訊息，DHCP Relay收到後單播發送給DHCP伺服器
• 如果地址可用，DHCP伺服器會單播回覆DHCP Ack，不可用會單播回覆DHCP Nak，DHCP Relay收到訊息後，再單播給客戶端

實驗

如下拓撲圖：

• 基本配置

#
 sysname AR1
#
interface GigabitEthernet0/0/0
 ip address 10.1.12.1 255.255.255.0 
-----------------------------------------------
#
 sysname AR2
#
interface GigabitEthernet0/0/0
 ip address 10.1.12.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 

• 配置全域性地址池

[AR1]ip pool bad  //建立全域性地址池
[AR1-ip-pool-bad]network 192.168.1.0 mask 24  //地址池可以分配的地址
[AR1-ip-pool-bad]gateway-list 192.168.1.254  //閘道器
[AR1-ip-pool-bad]dns-list 1.1.1.1  //DNS
[AR1-ip-pool-bad]excluded-ip-address 192.168.1.10 192.168.1.30  //排除的IP地址
[AR1-ip-pool-bad]lease day 5 hour 15 minute 20  //租期
[AR1-ip-pool-bad]q
[AR1]dhcp enable  //全域性開啟DHCP服務
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]dhcp select global  //介面下選擇全域性地址池

• 配置DHCP中繼

[AR2]dhcp enable 
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]dhcp relay server-ip 10.1.12.1

• 配置靜態路由

[AR1]ip route-static 192.168.1.0 24 10.1.12.2

• 抓包分析
  

PC上使用DHCP獲取IP地址，檢視IP地址、閘道器、DNS等資訊

• 路由器配置獲得IP

[AR3]dhcp enable  //全域性開啟DHCP
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip ad dhcp-alloc  //DHCP分配地址
[AR3-GigabitEthernet0/0/0]dis ip int bri  //檢視介面IP

不僅PC可以通過DHCP獲得IP地址，路由器也可以通過DHCP獲得IP地址

DHCP餓死攻擊

• 攻擊原理：攻擊者持續大量的向DHCP Server申請IP地址，直到耗盡DHCP Server地址池中的IP地址，導致DHCP Server不能對正常的使用者進行分配
• 漏洞分析：DHCP Server向申請者分配IP地址時，無法區分是否為正常的申請

攻擊者通過不斷修改DHCP報文中的CHADDR欄位值，持續不斷的向DHCP Server申請IP地址

仿冒DHCP Server攻擊

• 攻擊原理：攻擊者仿冒DHCP Server，向客戶端分配錯的IP地址及提供錯誤的閘道器地址等引數，導致客戶端無法正常訪問網路
• 漏洞分析：DHCP客戶端接收到來自DHCP Server的DHCP訊息後，無法區分這些DHCP訊息是來自仿冒的DHCP Server還是來自合法的DHCP Server

客戶端廣播發送DHCP Discover訊息，仿冒DHCP Server儘快恢復DHCP Offer報文，使客戶端收到錯誤的IP地址、閘道器等資訊

DHCP中間人攻擊

• 攻擊原理：攻擊者利用ARP機制，讓PC學習到伺服器IP與攻擊者MAC的對映關係，又讓伺服器學習到PC的IP地址與攻擊者MAC的對映關係，則PC與伺服器之間互動的IP報文都會經過攻擊者中轉
• 漏洞分析：本質上，中間人攻擊是一種Spoofing　IP/MAC攻擊，中間人利用了虛假的IP地址與MAC地址之間的對映關係來同時欺騙DHCP的客戶端和伺服器

DHCP Snooping

• DHCP Snooping用於防止DHCP餓死攻擊
  • DHCP Snooping支援在埠下對DHCP Request報文的源MAC地址和CHADDR進行一致性檢查，相同則轉發，不同則丟棄
  • 配置命令：dhcp snooping check dhcp-chaddr enable（介面檢視下）
• DHCP Snooping用於防止DHCP Server攻擊
  • DHCP Snooping將交換機上的埠分為信任埠（Trusted）和非信任埠（Untrusted）
  • 與合法DHCP Server相連的埠配置為Trusted埠，其他埠配置為Untrusted埠
  • 交換機從Trusted埠接收到的DHCP Offer、DHCP Ack/Nak會進行轉發，從Untrusted埠接收到的相關報文則直接丟棄
  • 配置命令：dhcp snooping trusted(預設埠為Untrusted)（介面檢視）
• DHCP Snooping用於防止DHCP中間人攻擊
  • DHCP Snooping會偵聽DHCP Ack訊息，將收集到的使用者MAC地址，DHCP Server分配給使用者的IP地址存放到DHCP Snooping繫結表，表項中包含使用者的MAC地址、IP地址、IP地址租期、VLAN-ID等資訊的對應關係
  • 攻擊者傳送ARP請求報文，將源IP地址更改為使用者端的IP地址，MAC地址為自身的MAC地址。交換機收到ARP請求後，檢查ARP報文中的源IP、MAC，發現於DHCP Snooping繫結表種的表項不一致，則會丟棄該ARP請求
  • 配置命令：arp dhcp-snooping-detect enable（交換機的系統檢視下）

DHCP Snooping與IPSG技術聯動

• IPSG（Source Guard）IP源防護，
• 交換機啟用IPSG功能後，會對進入交換機埠的報文進行合法性檢查，並對報文進行過濾，合法則轉發，不合法則丟棄
• 在交換機的埠檢視下：
  • IP+MAC
  • IP+VLAN
  • IP+MAC+VLAN
• 在交換機VLAN檢視下：
  • IP+MAC
  • IP+物理埠號
  • IP+MAC+物理埠號
• 配置命令：ip source check user-bind enable

DHCP Snooping與IPSG技術聯動可以只檢測IP地址或MAC地址等，沒有IPSG則會把DHCP Snooping繫結表中的每一項都檢查

以上內容均屬原創，如有不詳或錯誤，敬請指出。