192.168.1.1-路由器设置 > 测网速 > 局域网 > 局域网限速软件 >

局域网协议DHCP应用及安全防护

文章摘要

DHCP协议浅析 我们发现在日常组网工作中,如果客户端数量过多,手动分配IP地址会加大网管员的工作量。所以我们会在网络里部署一台DHCP服务器,由DHCP完成自动分配IP的工作。DHCP除了可以分配给客户端IP之外还有网关,DNS等信息。 DHCP分配给客户端地址的过程我们通常用请看如下

 

 

  DHCP协议浅析

  我们发现在日常组网工作中,如果客户端数量过多,手动分配IP地址会加大网管员的工作量。所以我们会在网络里部署一台DHCP服务器,由DHCP完成自动分配IP的工作。DHCP除了可以分配给客户端IP之外还有网关,DNS等信息。

  DHCP分配给客户端地址的过程我们通常用4个字母来表示,即DORA。DORA分别代表了DHCP的四个报文。Discovery报文、offer报文、request报文、ACK报文。所以我们把工作过程也分为4步

  1,在客户端启动的时候,首先会discovery报文(在这报文里面了客户端的MAC地址)。Discovery报文可以理解为:客户端去发现DHCPserver。由于是,可以DHCPserver收到这个报文。

  2,DHCPserver收到这个报文后他就知道某个客户端要请求一个IP地址,DHCPserver就参照Discover报文里面的MAC地址,然后从他配置的DHCP地址池里面分配一个IP地址。然后把这个地址用offer消息告诉客户端。这个报文里面会把discovery里面客户端的MAC包含进去。客户机收到后比较下MAC,发现报文里面的MAC和自己的MAC一样就会认为这个报文是发给他的。

  3,由于DHCPserver可能有多个,所以客户端发一个Discovery就很有可能收到多个offer。这时候客户端必须表示我用哪个offer的地址。所以客户端再次发一个request报文,表明我要用这个discovery的报文。

  4,最后DHCPserver回一个ACK。做一个确定。

  整个过程结束。通过这种方式,我们可以为每一个客户端配置一个IP地址。无须人工配置。

  如图所示:

  

  如何在园区网内部署DHCP

  我们在一些大规模的园区网内如何去部署DHCP服务器呢?仅仅一台DHCP是否可以工作?

  由于规模大、主机数目多,所以通常我们会在网络里划分多个VLAN来隔离域提高网络的性能。太大的域会造成泛洪。那我们注意到在DHCP的DORA的四个报文实际上是用来完成的。

  如图所示:

  

  DHCP

  前面介绍了DHCP的基本原理和DHCP在园区网里的应用。DHCP给予了我们很多的便利之处,但与此同时DHCP还可能会带来一些。下面我们来分析下黑客是如何利用DHCP进行的。

  简介

  如图所示:

  

  1)首先黑客会发大量的DHCP请求到server。这些大量的discovery报文每个报文都包含了不同的虚假MAC。Server收到这些报文后根据正常的DHCP工作机制就会向虚假的MAC分配IP,DHCP的池内的地址可能被瞬间耗光。

  2)正常的客户端开始去请求IP,但是正常的DHCP服务器已经没有办法在给他分配IP了,因为地址池已经耗光了。

  3)黑客站了出来,为这个客户端分配了一个IP,并且包含了虚假的网关地址和DNS。

  这个客户端拿到了错误的网关,导致所有去往外网的报文都发给了这个虚假的网关。这个虚假网关就可以扑捉了所有去外网的报文。客户端在去作域名解析的时候也是用错误的DNS,可能某个银行网站的域名解析出来的就是事先布置好的钓鱼网站。后果不堪设想。

  如何防止

  大部分交换机都提供DHCPsnooping这个特性来防止DHCP

  1)DHCPsnooping提供的第一个特性就是限速。可以把DHCP报文的速率在某个范围内。例如每秒不超过10个包。这样可以有效的避免DHCP地址池耗尽。

  2)DHCPsnooping会把交换机的接口分为trust(信任)和untrust(非信任)。信任和非信任其实就是这个接口是否是网管员可以信任的连接DHCPserver。对于trust(信任)的不做任何检查。对于untrust(不信任)的,如果收到offerack这些正常是由server发的报文交换机就会丢弃掉这些报文。这样可以有效的防止虚假DHCP服务器。

  局域网如何限速如图所示

  

  3)除此之外还会对来自untrust接口收到DHCP其他报文会进行深度检测,例如discovery。如果从一个untrust接口收到一个DHCPdiscovery报文,交换机会检测discovery报文内的MAC地址和二层数据帧中的源MAC是否一致,如果不一致就会认为这个是(可能虚假出大量的MAC去发discovery).

分享到:

tags:局域网如何限速

最近更新-关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明
CopyRight2009-2011 All Rights Reserved 192.168.1.1 路由器设置jmqy.com