Cisco 解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

科学技术创新2020.30如何解决无线局域网内伪造DHCP 服务器攻击How to solve the attack of forging DHCP server in WLAN唐磊（重庆三峡职业学院信息化建设办公室，重庆404155）1概述我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达，请稍后认证”，无法认证上网。

使用ping 命令检查网络连通性，发现该办公楼的网关地址正常连通，但获取的DNS 地址为192.168.1.1，导致无法通过认证。

手动配置计算机的IP 地址为192.168.1.250，网关地址为192.168.1.1，在浏览器中输入http://192.168.1.1，可以访问无线路由器的管理界面（如图1所示）。

将计算机的DNS 地址配置为61.128.128.68，能正常认证上网，因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP 服务器攻击所致。

图1路由器管理界面2问题原因分析产生上述问题的原因是：客户机通过广播方式发送DHCP 请求寻找DHCP 服务器，DHCP 服务器接收到客户机的IP 租约请求时，同时提供IP 租约给客户机。

客户机收到IP 租约时，同时发送DHCPREQUEST 消息。

当DHCP 服务器收到消息后，同时完成DHCP 分配。

由于局域网中同时存在多个DHCP 服务器，所有DHCP 服务器都收到计算机发送的DHCP 请求，互相争夺DHCP 提供权，导致计算机获取到伪装DHCP 服务器的IP 地址，从而无法上网。

3解决方法对于伪造DHCP 服务器，本文采用的解决方法步骤如下：第一步：在故障电脑上命令提示符中输入arp -a 命令，在出现的IP 地址与物理地址列表信息中，查找到IP 地址192.168.1.1的物理地址为be-5f-f6-01-a8-12，此物理地址为路由器所对应的硬件MAC 地址。

如图2所示。

第二步：使用telnet 命令登录AC ，通过display wlan client |in be5f-f601-a812命令查看该无线路由器接入的AP ，命令执行如下：be5f-f601-a812N/A e-4f-410-sh...2192.168.1.12001再次使用命令display wlan ap all address |in e-4f-410-sh ，可知该无线路由器通过名称为e-4f-410-shiwai 的摘要：随着科技的飞速发展，传统的有线局域网（LAN ）已无法跟上科技发展的步伐，而无线局域网（WLAN ）给人们生活带来便利。

一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR 字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC 地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:现在用户真是不省心，自己改个IP地址;私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。

单靠交换机能管吗, 测试工程师:能～很多交换机上的小功能都可帮大忙。

测试实况:IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。

思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。

Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。

思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。

另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。

华硕虽然不能调整速率，但是也会限制DHCP请求的数量。

DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。

该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

在基于TCP,IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。

在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

• 51•随着网络规模扩大和拓扑结构的适当调整，IP地址更多的是以动态分配形式为主。

不过实际生活中存在许多的IP地址盗用、ARP 病毒攻击等现象，究其原因就是用户比较多、地理位置较为分散以及随机性太强，进而造成网络安全管理工作的巨大困扰。

本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。

21世纪以来，互联网技术日益更新，在为人们带来许多生活便利的同时，还隐藏着网络安全的隐患。

我们急需对网络安全情况引起重视，在享受网络的便利同时提高防范心理。

那么，如何解决这一安全问题呢？要始终坚持“安全第一，预防为主”的指导策略，做好前期防范工作和事中援救事宜，根据预测、分析与防治工作出具应急预案，将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上，提高应急处置能力，最大限度地减少网络安全危机的发生及其不良后果。

1 网络安全日常管理日常管理是网络安全工作的基础，改进平时的管理，必须不断增强安全防范意识：网络管理员和所有员工都要高度重视网络安全，时刻保持警觉，决不松懈，共同为网络筑起一道“防护墙”。

其日常管理有以下基本规则。

（1）要确保内部局域网和外网严格执行物理隔离。

对局域网中的每一个用户来说，在进入到局域网之前，系统必须进行补丁下载，并且在进入到局域网之前对病毒进行杀毒。

每台PC都要经过实名认证，并将IP地址和MAC地址相关联。

（2）要安装杀毒软件：每个网络服务器、电脑等设施对有关杀毒软件的配备上是具有必要性的，使用者在固定周期内进行软件升级和杀毒操作。

在紧急情况下，客户使用端口会被迫进行升级与杀毒操作。

（3）要做好密码设置工作：指定计算机设备，如局域网中连接外网的计算机服务器、门户网、网络服务器、远程服务器等，必须设置不同的登录密码，这一密码最好的设置是由数字、26个英文字母及标点符号构成，长度为12位数，定期删除和更换设备的登录密码。

cisco 设置dhcp服务器推荐文章怎么配置思科3620dhcp 热度： cisco3550如何配置DHCP中继热度： cisco dhcp服务器设置方法热度： cisco dhcp服务器设置热度： cisco3550怎么配置dhcp 热度：配置DHCO服务器是每个网管必须掌握的技术，那么cisco 重设置dhcp服务器？店铺整理了相关资料，供您参考。

拓扑如下：第一步：查看设备是否支持IOS DHCP Server功能一般的Cisco路由器或访问服务器，以及少部分安装有路由交换模块或多层交换功能卡的交换机都具有IOS DHCP Server功能。

如果还没有确认你的设备是否具备这一功能，那么，你可以按如下方法在命令行界面(CLI)下进行快速检测，步骤如下：2960>enablePassWord?2960#config t'进入配置模式Enter configuration commands? one per line.End with CNTL/Z.2960?config?#ip dhcp ?如果出现的是下面的信息，那么很遗憾，你的设备不支持IOS DHCP Server功能：% Unrecognized command如果支持DHCP Server功能，应该显示如下：anzhenoffice(config)#ip dhcp?dhcp dhcp-client dhcp-server第二步：在交换机上进行配置1.设置DHCP数据库代理DHCP数据库代理是用于存储DHCP绑定信息的一台主机，它可以是FTP、TFTP或者是RCP服务器。

当然，如有必要，你可以配置多个DHCP数据库代理。

同样，不配置DHCP数据库代理也是允许的，但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。

如果你不想配置数据库代理，你只要取消掉地址冲突日志的记录功能即可，操作命令如下：2960>enablePassword?'输入交换机的特权口令2960#config terminal'进入配置模式Enter configuration commands? one per line.End with CNTL/Z.2960?config?#no ip dhcp conflict logging '取消地址冲突记录日志2.设置不能用于动态分配的IP地址在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。

我校1＃学生公寓，PC拥有数量大约1000台。

采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。

由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP 分配的IP地址冲突。

以上两方面，均造成了该公寓楼大量主机无法正常访问网络。

经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic AR P Inspection两项技术，以保证网络的正常运行。

该公寓网络设备使用情况如下，接入层为××台 2950交换机上联至堆叠的4台 3750，再通过光纤上联至汇聚层的 3750交换机。

同时汇聚层的 3750交换机还兼做DHCP服务器。

部署过程 首先按如下过程配置DHCP Snooping 1 configure terminal 2 ip dhcp snooping 在全局模式下启用DHCP Snooping 3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping 4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled. 5 interface GigabitEthernet1/0/28，进入交换机的第28口 6 ip dhcp snooping trust 将第28口设置为受信任端口 7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限 9 end 退出 完成配置后，可用如下命令观察DHCP Snooping运行状况： show ip dhcp snooping 得到如下信息： Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs： Insertion of option 82 is enabled Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/0/22 yes unlimited GigabitEthernet1/0/24 yes unlimited GigabitEthernet1/0/27 yes unlimited GigabitEthernet1/0/28 no 500 show ip dhcp snooping binding，得到如下信息： MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ----------- 00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/2 8 00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28 00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28 10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28 00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28 00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28 00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28 接下来配置Dynamic ARP Inspection 1 show cdp neighbors 检查交换机之间的连接情况 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID ap Gig 1/0/23 149 T AIR-AP1230Fas 0 hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1 1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25 2 configure terminal 进入全局配置模式 3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection 4 interface GigabitEthernet1/0/28 进入第28端口 5 ip arp inspection trust 将端口设置为受信任端口 The switch does not check ARP packets that it receives from the other switc h on the trusted interface. It simply forwards the packets. 6 end 配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况 show arp access-list [acl-name] Displays detailed information about ARP ACL s. show ip arp inspection interfaces [interface-id] Displays the trust state a nd the rate limit of ARP packets for the specified interface or all interfaces. Interface Trust State Rate (pps) Burst Interval --------------- ----------- ---------- -------------- Gi1/0/21 Untrusted 15 1 Gi1/0/22 Trusted None N/A Gi1/0/23 Untrusted 15 1 Gi1/0/24 Trusted None N/A Gi1/0/25 Untrusted 15 1 Gi1/0/26 Untrusted 15 1 Gi1/0/27 Trusted None N/A Gi1/0/28 Untrusted None N/A show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switc h, for a specified VLAN, or for a range of VLANs. yql-2#-3750#sh ip arp inspection vlan 103 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 103 Enabled Active Vlan ACL Logging DHCP Logging ---- ----------- ------------ 103 Deny Deny 注意事项： DHCP Snooping l 在配置DHCP Snooping以前，必须确认该设备作为DHCP服务器。

IPSec与DHCP安全：保护动态分配的IP地址引言：在今天的数字时代，网络安全成为了世界各地组织和个人的重要问题。

随着计算机和网络的普及，IPSec（Internet Protocol Security）和DHCP（Dynamic Host Configuration Protocol）这两个技术变得越来越重要。

本文将探讨IPSec和DHCP的安全问题，并提供保护动态分配的IP地址的解决方案。

IPSec的概述：IPSec是一种用于保护IP数据包的安全协议，它提供了数据加密、认证和完整性保护的功能。

通过使用IPSec，可以确保数据在传输过程中不被窃听、篡改或伪造。

IPSec可以在网络层实现对数据的保护，因此可以保护整个网络交互过程中的数据。

DHCP的概述：DHCP是一种用于自动分配IP地址的协议。

在以前的网络中，IP地址需要手动配置，但这种方法不仅繁琐，而且难以管理。

DHCP通过自动分配IP地址、子网掩码、默认网关和DNS服务器等网络配置信息，使网络管理员的工作更加简化。

DHCP的安全性是保护动态分配的IP地址的重要方面。

IPSec的安全问题：虽然IPSec具有强大的安全功能，但在实际应用中存在一些安全问题。

其中之一是密钥管理的问题。

IPSec使用一对密钥来进行加密和解密，但如何安全地管理这些密钥是一个挑战。

此外，攻击者可能会尝试通过分析IPSec数据包来获取有关网络的信息。

解决IPSec安全问题的方法：为了解决密钥管理问题，可以使用密钥管理协议（Key Management Protocol，简称KMP）来安全地管理IPSec中使用的密钥。

KMP使用公钥密码学技术来提供密钥协商和分发的安全性。

此外，使用VPN（Virtual Private Network）可以将传输的数据进一步加密，确保数据的安全性。

DHCP的安全问题：DHCP在自动分配IP地址时存在一些安全问题。

攻击者可以利用DHCP服务器的漏洞，伪造IP地址或篡改网络配置信息。