如何应对伪造DHCP服务器攻击

DHCP安全问题及其防范措施摘要本文主要介绍计算机网络当中一个比较常见的安全问题—DHCP的安全问题。

DHCP称作动态主机分配协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。

DHCP用一台或一组DHCP服务器来管理网络参数的分配，这种方案具有容错性。

即使在一个仅拥有少量机器的网络中，DHCP仍然是有用的，因为一台机器可以几乎不造成任何影响地被增加到本地网络中。

甚至对于那些很少改变地址的服务器来说，DHCP仍然被建议用来设置它们的地址。

如果服务器需要被重新分配地址（RFC2071）的时候，就可以在尽可能少的地方去做这些改动。

对于一些设备，如路由器和防火墙，则不应使用DHCP。

把TFTP或SSH服务器放在同一台运行DHCP的机器上也是有用的，目的是为了集中管理。

DHCP也可用于直接为服务器和桌面计算机分配地址，并且通过一个PPP代理，也可为拨号及宽带主机，以及住宅NAT网关和路由器分配地址。

DHCP 一般不适用于使用在无边际路由器和DNS服务器上。

DHCP安全问题在网络安全方面是一个不可忽略的问题，这种问题内部网络及网络服务提供商在分配IP地址造成的IP冲突、伪造DHCP服务器等攻击。

本文介绍了如何防范和解决此类问题的方法和步骤。

关键字：计算机、DHCP、安全问题、攻击DHCP safety and safeguardsABSTRACTThis paper mainly introduces the computer network of a common security problems and DHCP safety problems.DHCP dynamic distribution agreement called the mainframe （Dynamic host configuration protocol and DHCP ）is a LAN network protocols, the use of UDP agreement, there are two major purpose ：to the internal network or network service provider the IP address assigned to the user to the internal network administrator in all computer on the central administration.DHCP with one or a set of DHCP server to manage the distribution network parameters, the scheme has a fault tolerance. Even in a small amount of the machine has a network, and DHCP is still useful, for a machine can hardly have any influence, have been added to the local network. Even for those who rarely change the address of the server and DHCP still being proposed to set the address. If the server needs to be reassigned address （rfc2071 ）, it can be as few as possible to do these changes. For some equipment, such as the router and should not be used DHCP. The TFTP server or SSH in with a DHCP machine is also useful in order to administer.DHCP may also directly to the server and desktop computers, and the assignment of addresses by a PPP agent or a dialing, and broadband host, and the house assignment of addresses NAT gateway and routers generally do not apply. DHCP use in the DNS server marginal routers.DHCP security issues in the network security is not to neglect the issue of the internal network and the network service provider in the allocation of IP address of the conflict and DHCP server IP, forgery attack. This article explains how to prevent and resolve the problem of methods and procedures.Keyword: Computer、DHCP、Safety、Attack目录摘要 (I)ABSTRACT (II)第一章绪论 (1)1.1概述 (1)第二章应用技术 (2)2.1DHCP应用技术 (2)2.2技术优点 (2)2.3应用场合 (2)2.3.1 DHCP服务欺骗攻击 (3)2.3.2 ARP“中间人”攻击 (3)2.3.3 IP/MAC欺骗攻击 (4)2.3.4 DHCP报文泛洪攻击 (4)2.4应用限制 (5)第三章特性介绍 (5)3.1相关术语 (5)3.2相关协议 (6)3.3设备处理流程 (6)3.3.1 DHCP Snooping 表项的建立与老化 (6)3.3.2 DHCP Snooping 信任端口功能 (7)3.3.3 ARP入侵检测功能 (8)3.3.4 IP 过滤功能 (9)3.3.5 DHCP 报文限速功能 (9)3.4DHCP S NOOPING与DHCP R ELAY安全机制比较 (10)第四章典型组网案例 (11)结束语 (12)参考文献 ................................. 错误!未定义书签。

科学技术创新2020.30如何解决无线局域网内伪造DHCP 服务器攻击How to solve the attack of forging DHCP server in WLAN唐磊（重庆三峡职业学院信息化建设办公室，重庆404155）1概述我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达，请稍后认证”，无法认证上网。

使用ping 命令检查网络连通性，发现该办公楼的网关地址正常连通，但获取的DNS 地址为192.168.1.1，导致无法通过认证。

手动配置计算机的IP 地址为192.168.1.250，网关地址为192.168.1.1，在浏览器中输入http://192.168.1.1，可以访问无线路由器的管理界面（如图1所示）。

将计算机的DNS 地址配置为61.128.128.68，能正常认证上网，因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP 服务器攻击所致。

图1路由器管理界面2问题原因分析产生上述问题的原因是：客户机通过广播方式发送DHCP 请求寻找DHCP 服务器，DHCP 服务器接收到客户机的IP 租约请求时，同时提供IP 租约给客户机。

客户机收到IP 租约时，同时发送DHCPREQUEST 消息。

当DHCP 服务器收到消息后，同时完成DHCP 分配。

由于局域网中同时存在多个DHCP 服务器，所有DHCP 服务器都收到计算机发送的DHCP 请求，互相争夺DHCP 提供权，导致计算机获取到伪装DHCP 服务器的IP 地址，从而无法上网。

3解决方法对于伪造DHCP 服务器，本文采用的解决方法步骤如下：第一步：在故障电脑上命令提示符中输入arp -a 命令，在出现的IP 地址与物理地址列表信息中，查找到IP 地址192.168.1.1的物理地址为be-5f-f6-01-a8-12，此物理地址为路由器所对应的硬件MAC 地址。

如图2所示。

第二步：使用telnet 命令登录AC ，通过display wlan client |in be5f-f601-a812命令查看该无线路由器接入的AP ，命令执行如下：be5f-f601-a812N/A e-4f-410-sh...2192.168.1.12001再次使用命令display wlan ap all address |in e-4f-410-sh ，可知该无线路由器通过名称为e-4f-410-shiwai 的摘要：随着科技的飞速发展，传统的有线局域网（LAN ）已无法跟上科技发展的步伐，而无线局域网（WLAN ）给人们生活带来便利。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

dhcp攻击与防御的原理和方法DHCP（Dynamic Host Configuration Protocol）是一种网络协议，它负责为网络上的设备分配IP地址以及其他网络配置信息。

然而，正是由于其分配IP地址的特性，DHCP成为了黑客们进行攻击的目标之一。

本文将探讨DHCP攻击的原理和方法，并介绍一些常用的防御措施。

我们来了解一下DHCP攻击的原理。

DHCP攻击是指黑客通过伪造DHCP服务器或者恶意篡改DHCP服务器的响应，来欺骗网络上的设备获取虚假的IP地址或其他网络配置信息。

攻击者可以利用这种方式实施各种网络攻击，例如中间人攻击、拒绝服务攻击等。

一种常见的DHCP攻击方法是DHCP服务器伪造。

攻击者会在网络中伪造一个DHCP服务器，并发送虚假的DHCP响应给目标设备。

目标设备在收到响应后会将自己的网络配置信息更新为攻击者指定的虚假信息。

这样，攻击者就可以控制目标设备的网络连接，进而进行各种恶意活动。

另一种DHCP攻击方法是DHCP服务器篡改。

攻击者可以通过劫持网络中的DHCP服务器，修改服务器的配置信息，使其分配虚假的IP地址或其他网络配置信息给目标设备。

这种攻击方式相对隐蔽，很难被目标设备察觉。

为了有效防御DHCP攻击，我们可以采取一系列的措施。

首先，建立一个安全可靠的网络基础架构。

网络管理员应该加强对DHCP服务器的管理和监控，确保其不受攻击者的篡改。

同时，网络中的设备应该定期更新操作系统和安全软件，以及及时修补已知的漏洞，减少攻击的风险。

加强网络流量的监控和检测。

网络管理员可以使用入侵检测系统（IDS）或入侵防御系统（IPS）来实时监测网络流量，发现并阻止可疑的DHCP请求。

此外，还可以设置网络防火墙，限制DHCP流量的传输范围，防止未经授权的DHCP服务器出现。

网络管理员还可以采用DHCP Snooping技术来防御DHCP攻击。

DHCP Snooping是一种基于交换机的技术，它可以识别和过滤伪造的DHCP报文。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和 ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

DHCP攻防分析关于当前电信⽹络DHCP攻击防御的分析⼀、当下常见的DHCP攻击类型： (2)1、⽤户⾃⼰设置IP地址造成ip冲突 (2)2、⽤户伪装成dhcp服务器 (2)3、Dos ⽤户不停的换mac造成dhcp地址耗尽 (3)⼆、各⼚商对于DHCP攻击防御的⽀持情况 (4)三、⼩结： (4)1⼀、当下常见的DHCP攻击类型：1.1 1、⽤户⾃⼰设置IP地址造成ip冲突由于DHCP地址为按序分配，当⼀个⽤户通过认证的到地址时，另⼀个⽤户如果采⽤⾃⼰设置的同⼀个地址进⾏登陆，显然就会造成地址的冲突。

对于此类攻击最有效的⽅法就是在BRAS上禁⽌⽤户使⽤⾃⼰⼿⼯配置的IP上⽹但是对于电信现有的⽹络，ip地址是BRAS和radius协商互动后才能够进⾏分配的，所以⾃设ip的⽤户能⼀般来说我们认为它将认证失败。

1.2 2、⽤户伪装成dhcp服务器⾸先明确⼀些基本概念1，DHCP是动态主机配置协议，主要⽤来让PC机⾃动获得IP地址，⼦⽹掩码，默认⽹关等信息2，DHCP的发包⽅式为⼴播3，当有多个DHCP的回应时，使⽤最先到达的回应OK，根据上⾯的理论，我们就有了以下的攻击⽅式，DHCP欺骗攻击。

请看下图以上就是DHCP 欺骗攻击的全过程。

但是对于现有的IP城域⽹来说，以⽤户⼀vlan的⼯作模式本⾝就可以很好的防范此类攻击，因为所有的⽤户的⼴播域中只有⾃⼰⼀个⼈，因⽽最初的DHCP请求报⽂只可能到达⽤户的上⾏BRAS，因⽽现有的城域⽹不存在DHCP欺骗攻击产⽣的基本条件，所以这种攻击在PPPoE⽤户间可以忽略，但是在Wlan的环境下同⼀AP 下的主机之间此类攻击仍然有产⽣的余地，但是范围相对较⼩，控制性不强。

1.3 3、Dos ⽤户不停的换mac造成dhcp地址耗尽DHCP 耗竭的攻击通过利⽤伪造的MAC 地址来⼴播DHCP 请求的⽅式来进⾏。

利⽤诸如gobbler 之类的攻击⼯具就可以很容易地造成这种情况。

DHCP欺骗攻击DHCP监听（DHCP Snooping）是⼀种DHCP安全特性。

Cisco交换机⽀持在每个VLAN基础上启⽤DHCP监听特性。

通过这种特性，交换机能够拦截第⼆层VLAN域内的所有DHCP报⽂。

通过开启DHCP监听特性，交换机限制⽤户端⼝（⾮信任端⼝）只能够发送DHCP请求，丢弃来⾃⽤户端⼝的所有其它DHCP报⽂，例如DHCP Offer报⽂等。

⽽且，并⾮所有来⾃⽤户端⼝的DHCP请求都被允许通过，交换机还会⽐较DHCP 请求报⽂的（报⽂头⾥的）源MAC地址和（报⽂内容⾥的）DHCP 客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报⽂才会被转发，否则将被丢弃。

这样就防⽌了DHCP耗竭攻击。

信任端⼝可以接收所有的DHCP报⽂。

通过只将交换机连接到合法DHCP服务器的端⼝设置为信任端⼝，其他端⼝设置为⾮信任端⼝，就可以防⽌⽤户伪造DHCP服务器来攻击⽹络。

DHCP监听特性还可以对端⼝的DHCP报⽂进⾏限速。

通过在每个⾮信任端⼝下进⾏限速，将可以阻⽌合法DHCP请求报⽂的⼴播攻击。

DHCP监听还有⼀个⾮常重要的作⽤就是建⽴⼀张DHCP监听绑定表（DHCP Snooping Binding）。

⼀旦⼀个连接在⾮信任端⼝的客户端获得⼀个合法的DHCP Offer，交换机就会⾃动在DHCP监听绑定表⾥添加⼀个绑定条⽬，内容包括了该⾮信任端⼝的客户端IP地址、MAC地址、端⼝号、VLAN编号、租期等信息。

⼆、DHCP snooping 配置Switch(config)#ip dhcp snooping //打开DHCP Snooping功能Switch(config)#ip dhcp snooping vlan 10 //设置DHCP Snooping功能将作⽤于哪些VLANSwitch(config)#ip dhcp snooping verify mac-adress//检测⾮信任端⼝收到的DHCP请求报⽂的源MAC和CHADDR字段是否相同，以防⽌DHCP耗竭攻击，该功能默认即为开启Switch(config-if)#ip dhcp snooping trust//配置接⼝为DHCP监听特性的信任接⼝，所有接⼝默认为⾮信任接⼝Switch(config-if)#ip dhcp snooping limit rate 15//限制⾮信任端⼝的DHCP报⽂速率为每秒15个包（默认即为每秒15个包）如果不配该语句，则show ip dhcp snooping的结果⾥将不列出没有该语句的端⼝，可选速率范围为1-2048建议：在配置了端⼝的DHCP报⽂限速之后，最好配置以下两条命令Switch(config)#errdisable recovery cause dhcp-rate-limit//使由于DHCP报⽂限速原因⽽被禁⽤的端⼝能⾃动从err-disable状态恢复Switch(config)#errdisable recovery interval 30//设置恢复时间；端⼝被置为err-disable状态后，经过30秒时间才能恢复Switch(config)#ip dhcp snooping information option//设置交换机是否为⾮信任端⼝收到的DHCP报⽂插⼊Option 82，默认即为开启状态Switch(config)#ip dhcp snooping information option allow-untrusted//设置汇聚交换机将接收从⾮信任端⼝收到的接⼊交换机发来的带有选项82的DHCP报⽂Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000 //特权模式命令；⼿⼯添加⼀条DHCP 监听绑定条⽬；expiry为时间值，即为监听绑定表中的lease（租期）Switch(config)#ip dhcp snooping databaseflash:dhcp_snooping.db//将DHCP监听绑定表保存在flash中，⽂件名为dhcp_snooping.dbSwitch(config)#ip dhcp snooping databasetftp://192.168.2.5/Switch/dhcp_snooping.db//将DHCP监听绑定表保存到tftp服务器；192.168.2.5为tftp服务器地址，必须事先确定可达。