久久精品人人爽,华人av在线,亚洲性视频网站,欧美专区一二三

DHCP***防御處理的示例分析

共計(jì) 3105 個(gè)字符,預(yù)計(jì)需要花費(fèi) 8 分鐘才能閱讀完成。

這篇文章主要為大家展示了“DHCP*** 防御處理的示例分析”,內(nèi)容簡(jiǎn)而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓丸趣 TV 小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“DHCP*** 防御處理的示例分析”這篇文章吧。

  DHCP 應(yīng)用背景:在局域網(wǎng)組網(wǎng)規(guī)模相對(duì)較大的環(huán)境中,為了提高網(wǎng)絡(luò)管理效率減少網(wǎng)絡(luò)管理中的繁復(fù)勞動(dòng)我們一般會(huì)在局域網(wǎng)中架設(shè) DHCP 服務(wù)器,并通過(guò)該服務(wù)器來(lái)自動(dòng)為普通工作站提供合法 IP 地址提供上網(wǎng)服務(wù);當(dāng)局域網(wǎng)中的普通工作站連接到局域網(wǎng)絡(luò)后,它會(huì)自動(dòng)向局域網(wǎng)網(wǎng)絡(luò)發(fā)送上網(wǎng)參數(shù)請(qǐng)求數(shù)據(jù)包,DHCP 服務(wù)器一旦接受到來(lái)自客戶端系統(tǒng)的上網(wǎng)請(qǐng)求信息后,會(huì)自動(dòng)為其提供合適的 IP 地址、網(wǎng)絡(luò)掩碼地址、網(wǎng)關(guān)地址以及 DNS 地址等參數(shù),獲得相應(yīng)合法地址后客戶端系統(tǒng)就能正常訪問(wèn)網(wǎng)絡(luò)了,很顯然 DHCP 服務(wù)器的穩(wěn)定性將直接影響整個(gè)局域網(wǎng)網(wǎng)絡(luò)的工作穩(wěn)定。

如果在局域網(wǎng)中同時(shí)還存在另外一臺(tái)不合法的 DHCP 服務(wù)器時(shí)或 DHCP 服務(wù)器遭受惡意 *** 時(shí),整個(gè)局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性將會(huì)受到破壞,普通工作站的上網(wǎng)將因無(wú)法獲得可用的合法 IP 地址而出現(xiàn)混亂。為了讓局域網(wǎng)網(wǎng)絡(luò)運(yùn)行始終穩(wěn)定,我們需要想辦法保護(hù)合法 DHCP 服務(wù)器的運(yùn)行安全性,以避免其受到惡意 *** 或不合法 DHCP 服務(wù)器的“沖擊”!

下面看一個(gè)圖例:

1、交換機(jī)層面解決這個(gè)問(wèn)題
通過(guò)交換機(jī)的端口安全性設(shè)置每個(gè)客戶端主機(jī) DHCP 請(qǐng)求指定端口上使用唯一的 MAC 地址,通常 DHCP 服務(wù)器通過(guò) DHCP 請(qǐng)求的報(bào)文中的 CHADDR 段判斷客戶端 MAC 地址,通常這個(gè)地址和客戶端的 MAC 地址相同,如果 *** 者不修改客戶端的 MAC 而修改 DHCP 報(bào)文中 CHADDR,實(shí)施 Dos ***,Port Security 就不起作用了,DHCP 嗅探技術(shù)可以檢查 DHCP 請(qǐng)求報(bào)文中的 CHADDR 字段,判斷該字段是否和 DHCP 嗅探表相匹配。這項(xiàng)功能在有些交換機(jī)是缺省配置的,有些交換機(jī)需要配置,具體需要參考相關(guān)交換機(jī)的配置文檔。

另外利用 DHCP Snooping 技術(shù),通過(guò)建立和維護(hù) DHCP Snooping 綁定表過(guò)濾不可信任的 DHCP 信息,這些信息是指來(lái)自不信任區(qū)域的 DHCP 信息。通過(guò)截取一個(gè)虛擬局域網(wǎng)內(nèi)的 DHCP 信息,交換機(jī)可以在用戶和 DHCP 服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色,“DHCP 監(jiān)聽(tīng)”功能基于動(dòng)態(tài)地址分配建立了一個(gè) DHCP 綁定表,并將該表存貯在交換機(jī)里。在沒(méi)有 DHCP 的環(huán)境中,如數(shù)據(jù)中心,綁定條目可能被靜態(tài)定義,每個(gè) DHCP 綁定條目包含客戶端地址 (一個(gè)靜態(tài)地址或者一個(gè)從 DHCP 服務(wù)器上獲取的地址)、客戶端 MAC 地址、端口、VLAN ID、租借時(shí)間、綁定類型 (靜態(tài)的或者動(dòng)態(tài)的)。

當(dāng)交換機(jī)開(kāi)啟了 DHCP-Snooping 后,會(huì)對(duì) DHCP 報(bào)文進(jìn)行偵聽(tīng),并可以從接收到的 DHCP Request 或 DHCP Ack 報(bào)文中提取并記錄 IP 地址和 MAC 地址信息。另外,DHCP-Snooping 允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā) DHCP Offer 報(bào)文,而不信任端口會(huì)將接收到的 DHCP Offer 報(bào)文丟棄。這樣,可以完成交換機(jī)對(duì)假冒 DHCP Server 的屏蔽作用,確保客戶端從合法的 DHCP Server 獲取 IP 地址。

基本配置命令示例如下:

全局命令:

ip dhcp snooping vlan 10,20  * 定義哪些 VLAN 啟用 DHCP 嗅探

ip dhcp snooping

接口命令:

ip dhcp snooping trust

no ip dhcp snooping trust (Default)

ip dhcp snooping limit rate 10 (pps)  * 一定程度上防止 DHCP 拒絕服務(wù) ***

手工添加 DHCP 綁定表:

ip dhcp snooping binding  000b.db1d.6ccd vlan 10 192.168.1.2  interface gi1/1  expiry 1000

導(dǎo)出 DHCP 綁定表到 TFTP 服務(wù)器

ip dhcp snooping database tftp:// 10.1.1 .1/file

需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh、ftp、tftp) 或?qū)С龅街付?TFTP 服務(wù)器上,否則交換機(jī)重啟后 DHCP 綁定表丟失,對(duì)于已經(jīng)申請(qǐng)到 IP 地址的設(shè)備在租用期內(nèi),不會(huì)再次發(fā)起 DHCP 請(qǐng)求。如果此時(shí)交換機(jī)己經(jīng)配置了 DAI 和 IP Source Guard 技術(shù),這些用戶將不能訪問(wèn)網(wǎng)絡(luò)。

  注:對(duì)于類似 Gobbler 的 DHCP 服務(wù)的 DOS*** 可以利用 Port Security 限制源 MAC 地址數(shù)目加以阻止,對(duì)于有些用戶隨便指定地址,造成網(wǎng)絡(luò)地址沖突也可以利用 DAI 和 IP Source Guard 技術(shù)。有些復(fù)雜的 DHCP*** 工具可以產(chǎn)生單一源 MAC 地址、變化 DHCP Payload 信息的 DHCP 請(qǐng)求,當(dāng)打開(kāi) DHCP 偵聽(tīng)功能,交換機(jī)對(duì)非信任端口的 DHCP 請(qǐng)求進(jìn)行源 MAC 地址和 DHCP Payload 信息的比較,如不匹配就阻斷此請(qǐng)求。
 

2、客戶端服務(wù)器層面解決這個(gè)問(wèn)題
  客戶端處理:在客戶端主機(jī)上我們可以在 DOS 命令行提示符下執(zhí)行“arp -s 192.168.2.45 00-01-02-03-04-05 來(lái)綁定客戶端的 IP 和 MAC,同時(shí)執(zhí)行“arp -s 192.168.2.1  00-01-02-6E-3D-2B”  來(lái)綁定網(wǎng)關(guān)的 IP 和 MAC,或者在客戶端主機(jī)上安裝一些 ARP 防病毒軟件來(lái)避免此類的 ***。
  一旦發(fā)現(xiàn)自己的客戶端不能正常上網(wǎng)時(shí),我們可以在 DOS 命令行提示符下執(zhí)行“ipconfig/release”字符串命令,來(lái)將之前獲得的不正確上網(wǎng)參數(shù)釋放出來(lái)。

然后嘗試執(zhí)行“ipconfig/renew”字符串命令,來(lái)重新向局域網(wǎng)發(fā)送上網(wǎng)參數(shù)請(qǐng)求數(shù)據(jù)包,如果上述命令返回錯(cuò)誤的結(jié)果信息,那么我們可以在本地系統(tǒng)運(yùn)行對(duì)話框中繼續(xù)執(zhí)行“ipconfig/release”、“ipconfig /renew”字符串命令,直到客戶端工作站獲得有效的上網(wǎng)參數(shù)信息為止。

服務(wù)器端處理:
  通常情況下,局域網(wǎng)中的普通工作站安裝使用的都是 Windows 操作系統(tǒng),在 Windows 工作站系統(tǒng)為主的局域網(wǎng)環(huán)境中,我們可以通過(guò)域管理模式來(lái)保護(hù)合法 DHCP 服務(wù)器的運(yùn)行安全性,同時(shí)過(guò)濾不合法的 DHCP 服務(wù)器,確保該 DHCP 服務(wù)器不會(huì)為局域網(wǎng)普通工作站分配錯(cuò)誤的上網(wǎng)參數(shù)信息。我們只要在局域網(wǎng)域控制器中,將合法有效的 DHCP 服務(wù)器主機(jī)加入到活動(dòng)目錄中,就能保證局域網(wǎng)中的所有普通工作站都會(huì)自動(dòng)從合法有效的 DHCP 服務(wù)器那里,獲得正確的上網(wǎng)參數(shù)信息了。這是因?yàn)橛蛑械钠胀üぷ髡鞠蚓W(wǎng)絡(luò)發(fā)送廣播信息,申請(qǐng)上網(wǎng)參數(shù)地址時(shí),位于同一個(gè)域中的合法有效的 DHCP 服務(wù)器,會(huì)自動(dòng)優(yōu)先響應(yīng)普通工作站的上網(wǎng)請(qǐng)求,如果局域網(wǎng)指定域中的 DHCP 服務(wù)器不存在或失效時(shí),那些沒(méi)有加入指定域中的不合法 DHCP 服務(wù)器才有可能響應(yīng)普通工作站的上網(wǎng)請(qǐng)求。

  當(dāng)然我們也可以嘗試通過(guò)域管理加 ISA 安全管理的方式來(lái)實(shí)現(xiàn)更為細(xì)致的管理和控制。在域中設(shè)置一臺(tái)單獨(dú)的 DHCP 服務(wù)器,DHCP 服務(wù)器通過(guò) MAC 地址來(lái)為客戶端分發(fā)固定的 IP,ISA 服務(wù)器發(fā)布 DHCP 服務(wù)器并通過(guò)不同的策略設(shè)置來(lái)限定客戶端的權(quán)限,這樣可以實(shí)現(xiàn)粒度更為細(xì)致的安全管理。

注:域管理模式對(duì)于局域網(wǎng)規(guī)模比較小的單位來(lái)說(shuō),幾乎沒(méi)有多大實(shí)際意義,因?yàn)樾∫?guī)模的局域網(wǎng)幾乎都是工作組工作模式,這種工作模式下合法有效的 DHCP 服務(wù)器是無(wú)法得到安全保護(hù)的。

以上是“DHCP*** 防御處理的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注丸趣 TV 行業(yè)資訊頻道!

正文完
 
丸趣
版權(quán)聲明:本站原創(chuàng)文章,由 丸趣 2023-08-25發(fā)表,共計(jì)3105字。
轉(zhuǎn)載說(shuō)明:除特殊說(shuō)明外本站除技術(shù)相關(guān)以外文章皆由網(wǎng)絡(luò)搜集發(fā)布,轉(zhuǎn)載請(qǐng)注明出處。
評(píng)論(沒(méi)有評(píng)論)
主站蜘蛛池模板: 湖北省| 石景山区| 故城县| 文登市| 郎溪县| 宁南县| 九龙城区| 南木林县| 平昌县| 会理县| 蚌埠市| 观塘区| 平南县| 乌审旗| 信阳市| 庆元县| 兴隆县| 堆龙德庆县| 嵩明县| 崇礼县| 淮南市| 夏津县| 五家渠市| 汪清县| 手机| 辽宁省| 灌南县| 奉化市| 永康市| 曲阜市| 石棉县| 孝昌县| 鄂托克前旗| 梓潼县| 揭阳市| 东阳市| 叶城县| 双牌县| 翁牛特旗| 淮阳县| 利津县|