簡單的交換安全之DHCP攻擊

2021-09-26 16:28:19 字數 1401 閱讀 7183

欺騙類:

1,dhcp欺騙

(1)仿冒攻擊

在dhcp工作原理中,客戶端以廣播的形式尋找伺服器,只採用第乙個網路配置引數,所以如果有多台dhcp伺服器,客戶端會採用先應答的伺服器所給的引數。攻擊者利用未授權的伺服器優先應答客戶端的位址請求,就會獲取到不正確的ip位址、閘道器和dns資訊,而使用了攻擊者提前布置好各種陷阱的ip位址,後果可想而知。

(2)耗盡攻擊

攻擊者惡意從授權的dhcp伺服器上反覆申請ip位址,導致dhcp伺服器消耗了全部位址,出現dhcp飢餓,無法正常服務。

(3)中間人攻擊

結合了上面兩種攻擊方式,先惡意耗盡伺服器資源,再搞乙個假伺服器向目標開放應答位址請求。dhcp欺騙裝置將入侵者指定為預設閘道器或缺省網域名稱伺服器(dns伺服器)。如果指定為閘道器,客戶機將把資料報傳送給攻擊裝置,而攻擊裝置則將資料報**到客戶機的目的地,這樣就神不知鬼不覺的竊取了客戶的資訊,高階一些還可以篡改資料報內容。

即使dhcp請求報文的源mac位址和chaddr欄位都是正確的,但由於dhcp請求報文是廣播報文,大量傳送會耗盡頻寬,將會被拒絕服務。

dhcp防禦:

在交換機上配置 dhcp snooping

工作原理:交換機監聽dhcp資料幀,對於不信任的介面將拒絕接受dhcp offer包(響應包)

當dhcp伺服器和客戶端不在同乙個子網內時,客戶端想要拿到位址就必須有dhcp中繼**(dhcp relay agent)來**dhcp請求包。**之前還能插入一些選項資訊,以便dhcp伺服器更精準的得知客戶端的資訊,從而更靈活的分配ip位址和其他引數。

交換機開啟了dhcp snooping功能後,預設情況下,將對從非信任埠收到的dhcp請求報文插入選項82資訊。預設經過上行交換機埠時會丟棄。可以配置「ip dhcp snooping information allow-untrusted」全域性使其不被丟棄,在介面配置「ip dhcp snooping trust」接收。但是不建議這樣做,因為這樣將會不建立介面的dhcp監聽繫結表,降低了安全性。

當dhcp雙方在同乙個子網內時,交換機會把option 82 的值填為0.0.0.0

注:以windows server 2003為dhcp的伺服器不認為option 82 的值為0的dhcp請求報文是錯誤的,所以會丟棄該報文。

可配置「no ip dhcp snooping information option」命令,不插入option 82

可在路由器上配置「ip dhcp relay information trust」允許option 82 的值為0的dhcp請求報文通過,但僅對路由器當前介面有效。全域性有效:「ip dhcp relay information trust-all」

ip dhcp snooping database flash: xx.txt 把快取的snooping表存放在乙個能夠儲存的位置。

交換機安全 DHCP欺騙

dhcp dynamic host configuration protocol,動態主機配置協議 通常被應用在大型的區域網路環境中,主要作用是集中的管理 分配ip位址,使網路環境中的主機動態的獲得ip位址 gateway位址 dns伺服器位址等資訊,並能夠提公升位址的使用率。在沒有dhcp欺騙抖動...

87 交換機安全VLAN攻擊配置實驗之PVLAN

1 私有vlan解析 pvlan分為primary vlan和secondary vlan,其中secondary vlan進一步分為隔離vlan和團體vlan,隔離vlan和團體vlan之間不能互訪,但他們都能與primary vlan互訪,隔離vlan內部不能互訪,團體vlan內部可以互訪。埠角...

Web安全之CSRF攻擊

csrf是什麼?csrf cross site request forgery 中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個例子 簡單版 假如有個加關注...