《永劫無間》好看捏臉資料分享
阿新 • • 發佈:2021-08-27
DHCP
文章目錄
DHCP
DHCP工作過程
DHCP請求地址
- 發現階段:客戶端通過廣播方式傳送DHCP Discover訊息,尋找DHCP伺服器,表示自己需要一個IP地址
- 提供階段:DHCP伺服器收到DHCP Discover訊息後,把可以提供的IP地址攜帶在DHCP Offer中,單播發送給客戶端
- 請求階段:客戶端收到DHCP Offer後,選擇第一個到達的Offer,並通過廣播方式向相應的DHCP伺服器傳送DHCP Request訊息,請求使用這個IP地址
- 確認階段:DHCP伺服器收到DHCP Request訊息後,該IP地址如果可以使用,會單播回覆DHCP Ack訊息,表示地址分配成功。如果不可以使用,會單播回覆DHCP Nak訊息,表示地址分配失
- 發現階段客戶端也可以通過單播、組播方式傳送DHCP Discover訊息
- 請求階段客戶端廣播發送DHCP Request訊息還可以使其他的HDCP伺服器釋放已經準備分配給客戶端的IP地址
- 思科裝置全部是廣播方式傳送報文,華為裝置是廣播—單播—廣播—單播
DHCP地址續租
- 當租期約過了1/2時,客戶端向DHCP伺服器單播發送DHCP Ruquest訊息,希望續租IP地址
- 伺服器收到後,會重新整理客戶端的地址租期時間,重新計時,併發送DHCP Ack訊息
- 如果DHCP伺服器沒有回覆,客戶端會等租期過了7/8(87.5%)時,還沒有收到DHCP伺服器的回覆,會再次廣播發送DHCP Request訊息,向所有的DHCP伺服器請求續租IP地址
- 在租期到期前,收到了DHCP Ack訊息,則續租成功,可以繼續使用該IP地址。如果沒有收到訊息,則續租失敗,不能繼續使用該IP地址
DHCP配置
基於全域性地址池
dhcp enable
ip pool HW
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0
dns-list 192.168.1.2
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global
基於介面
dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 192.168.1.2
dhcp server excluded-ip-address 192.168.1.2
dhcp server lease day 2 hour 0 minute 0
DHCP Relay
- 客戶端廣播發送DHCP Discover訊息,DHCP Relay收到訊息後,向DHCP伺服器單播發送DHCP Discover訊息
- 伺服器收到Discover訊息後,單播回覆DHCP Offer,DHCP Relay收到後再單播發送給客戶端
- 客戶端再廣播發送DHCP Request訊息,DHCP Relay收到後單播發送給DHCP伺服器
- 如果地址可用,DHCP伺服器會單播回覆DHCP Ack,不可用會單播回覆DHCP Nak,DHCP Relay收到訊息後,再單播給客戶端
實驗
如下拓撲圖:
- 基本配置
#
sysname AR1
#
interface GigabitEthernet0/0/0
ip address 10.1.12.1 255.255.255.0
-----------------------------------------------
#
sysname AR2
#
interface GigabitEthernet0/0/0
ip address 10.1.12.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.1.254 255.255.255.0
- 配置全域性地址池
[AR1]ip pool bad //建立全域性地址池
[AR1-ip-pool-bad]network 192.168.1.0 mask 24 //地址池可以分配的地址
[AR1-ip-pool-bad]gateway-list 192.168.1.254 //閘道器
[AR1-ip-pool-bad]dns-list 1.1.1.1 //DNS
[AR1-ip-pool-bad]excluded-ip-address 192.168.1.10 192.168.1.30 //排除的IP地址
[AR1-ip-pool-bad]lease day 5 hour 15 minute 20 //租期
[AR1-ip-pool-bad]q
[AR1]dhcp enable //全域性開啟DHCP服務
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]dhcp select global //介面下選擇全域性地址池
- 配置DHCP中繼
[AR2]dhcp enable
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]dhcp relay server-ip 10.1.12.1
- 配置靜態路由
[AR1]ip route-static 192.168.1.0 24 10.1.12.2
- 抓包分析
PC上使用DHCP獲取IP地址,檢視IP地址、閘道器、DNS等資訊
- 路由器配置獲得IP
[AR3]dhcp enable //全域性開啟DHCP
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip ad dhcp-alloc //DHCP分配地址
[AR3-GigabitEthernet0/0/0]dis ip int bri //檢視介面IP
不僅PC可以通過DHCP獲得IP地址,路由器也可以通過DHCP獲得IP地址
DHCP餓死攻擊
- 攻擊原理:攻擊者持續大量的向DHCP Server申請IP地址,直到耗盡DHCP Server地址池中的IP地址,導致DHCP Server不能對正常的使用者進行分配
- 漏洞分析:DHCP Server向申請者分配IP地址時,無法區分是否為正常的申請
攻擊者通過不斷修改DHCP報文中的CHADDR欄位值,持續不斷的向DHCP Server申請IP地址
仿冒DHCP Server攻擊
- 攻擊原理:攻擊者仿冒DHCP Server,向客戶端分配錯的IP地址及提供錯誤的閘道器地址等引數,導致客戶端無法正常訪問網路
- 漏洞分析:DHCP客戶端接收到來自DHCP Server的DHCP訊息後,無法區分這些DHCP訊息是來自仿冒的DHCP Server還是來自合法的DHCP Server
客戶端廣播發送DHCP Discover訊息,仿冒DHCP Server儘快恢復DHCP Offer報文,使客戶端收到錯誤的IP地址、閘道器等資訊
DHCP中間人攻擊
- 攻擊原理:攻擊者利用ARP機制,讓PC學習到伺服器IP與攻擊者MAC的對映關係,又讓伺服器學習到PC的IP地址與攻擊者MAC的對映關係,則PC與伺服器之間互動的IP報文都會經過攻擊者中轉
- 漏洞分析:本質上,中間人攻擊是一種Spoofing IP/MAC攻擊,中間人利用了虛假的IP地址與MAC地址之間的對映關係來同時欺騙DHCP的客戶端和伺服器
DHCP Snooping
- DHCP Snooping用於防止DHCP餓死攻擊
- DHCP Snooping支援在埠下對DHCP Request報文的源MAC地址和CHADDR進行一致性檢查,相同則轉發,不同則丟棄
- 配置命令:
dhcp snooping check dhcp-chaddr enable
(介面檢視下)
- DHCP Snooping用於防止DHCP Server攻擊
- DHCP Snooping將交換機上的埠分為信任埠(Trusted)和非信任埠(Untrusted)
- 與合法DHCP Server相連的埠配置為Trusted埠,其他埠配置為Untrusted埠
- 交換機從Trusted埠接收到的DHCP Offer、DHCP Ack/Nak會進行轉發,從Untrusted埠接收到的相關報文則直接丟棄
- 配置命令:
dhcp snooping trusted
(預設埠為Untrusted)(介面檢視)
- DHCP Snooping用於防止DHCP中間人攻擊
- DHCP Snooping會偵聽DHCP Ack訊息,將收集到的使用者MAC地址,DHCP Server分配給使用者的IP地址存放到DHCP Snooping繫結表,表項中包含使用者的MAC地址、IP地址、IP地址租期、VLAN-ID等資訊的對應關係
- 攻擊者傳送ARP請求報文,將源IP地址更改為使用者端的IP地址,MAC地址為自身的MAC地址。交換機收到ARP請求後,檢查ARP報文中的源IP、MAC,發現於DHCP Snooping繫結表種的表項不一致,則會丟棄該ARP請求
- 配置命令:
arp dhcp-snooping-detect enable
(交換機的系統檢視下)
DHCP Snooping與IPSG技術聯動
- IPSG(Source Guard)IP源防護,
- 交換機啟用IPSG功能後,會對進入交換機埠的報文進行合法性檢查,並對報文進行過濾,合法則轉發,不合法則丟棄
- 在交換機的埠檢視下:
- IP+MAC
- IP+VLAN
- IP+MAC+VLAN
- 在交換機VLAN檢視下:
- IP+MAC
- IP+物理埠號
- IP+MAC+物理埠號
- 配置命令:
ip source check user-bind enable
DHCP Snooping與IPSG技術聯動可以只檢測IP地址或MAC地址等,沒有IPSG則會把DHCP Snooping繫結表中的每一項都檢查
以上內容均屬原創,如有不詳或錯誤,敬請指出。
本文作者:壞壞
本文連結:https://blog.csdn.net/qq_45668124/article/details/107067794
版權宣告:本部落格所有文章除特別宣告外,均採用CC BY-NC-SA 4.0許可協議。轉載請註明出處!並附帶本文連結!