DHCP Snooping基礎及其工作原理介紹
你是否遇到過這樣的問題,“電腦插了網線,也能動態獲取IP地址,可就是上不了網” 別著急,試試我們的捫心自問法:已經獲取的IP地址是否真實可用?是由合法DHCP服務器分配的嗎?如果不是的話,那你可能就已掉入非法DHCP服務器的陷阱。要如何避免這類問題的發生呢?接下來,本文將為您介紹一個新的概念:DHCP Snooping。有了這個神器,我們就可以輕鬆躲避非法IP地址。
DHCP Snooping是什麼?
DHCP Snooping是 DHCP 的一種安全特性,常用於二層網絡。啟用了該功能的交換機,可以屏蔽接入網絡中的非法的DHCP服務器,也就是說,網絡中的客戶端只有從管理員指定的DHCP服務器獲取 IP 地址。DHCP Snooping的主要工作涵蓋一下幾個方面:
-
驗證從非信任途徑接收的DHCP報文,並丟棄不符合要求的報文
-
生成並維護DHCP Binding Table 記錄表
-
根據DHCP Binding Table 記錄表中的信息來驗證非信任主機發來的DHCP報文
DHCP Snooping是怎樣工作的?
前文提到,DHCP Snooping是 DHCP 的一種安全特性,因此要了解DHCP Snooping的工作原理,首先得認識DHCP(動態主機配置協議)。支持DHCP的網絡設備需要完成以下四個步驟,才會從DHCP服務器獲取到IP地址。
DHCP Snooping將交換機上的端口分為信任 (trusted)和非信任 (untrusted)兩種類型。交換機只轉發信任端口的 DHCP OFFER/ACK/NAK報文,丟棄非信任端口的 DHCP OFFER/ACK/NAK報文,從而達到阻斷非法 DHCP 服務器的目的。 如果啟動了DHCP Snooping,則DHCP服務器只能通過信任端口發送DHCP OFFER報文。 否則,報文將被丟棄。
在第四步Acknowledgment環節,會根據ACK報文中的信息生成一個DHCP綁定表。表中記錄用戶的MAC地址、IP地址、租約時間、類型、VLAN、端口等信息,如下表所示。後續從非信任用戶發來的DHCP報文如不能在表中找到相應的匹配,則會被丟棄。
條目 | MAC地址 | IP地址 | 租約時間 | 類型 | VLAN | 端口 |
---|---|---|---|---|---|---|
條目1 | e4-54-e8-9d-ab-42 | 10.32.96.19 | 2673 | dhcp-snooping | 10 | VLAN |
條目2 |
|
|
|
|
|
|
條目3 |
|
|
|
|
|
|
…… |
|
|
|
|
|
|
DHCP Snooping可防禦的攻擊種類
Spoofing攻擊
惡意攻擊者想探聽用戶和網關之間的通信,給用戶發送偽造的ARP應答報文,使用戶誤認為自己就是默認網關或DNS服務器。此後,用戶和網關之間看似“直接”的通信,實際上都是通過黑客所在的用戶間接進行的,即黑客擔當了“中間人”的角色,可以對信息進行了竊取和篡改。
仿冒DHCP報文攻擊
如果攻擊者冒充合法用戶不斷向DHCP Server發送DHCP REQUEST報文來續租IP地址,會導致這些到期的IP地址無法正常回收,以致一些合法用戶不能獲得IP地址;而若攻擊者仿冒合法用戶的DHCP Release報文發往DHCP Server,將會導致用戶異常下線。
如何開啟DHCP snooping?
如果接入交換機上連接了有線終端,那就需要開啟DHCP Snooping功能。在你想要保護的VLAN上啟用DHCP Snooping之前,需要先設置信任端口,這些端口允許來自合法DHCP服務器數據包的流通。在CLI命令行界面和Web界面都可以完成該配置。更多配置步驟可參考《飛速(FS)3900交換機DHCP Snooping配置指南》
結束語
雖說DHCP為IP地址的獲取提供了便捷,但也同時埋下了隱患。由於 DHCP 報文缺少認證機制,客戶機有可能從非法 DHCP 服務器獲得錯誤的 IP 地址等配置信息,導致客戶端無法正常使用網絡,也就有了開頭出現的問題。本文提供的解決辦法是DHCP Snooping。它既可以拒絕接受來自非法DHCP服務器的無效IP地址等配置信息,也可以防止用戶惡意索取IP地址,造成IP地址池的枯竭。飛速(FS)3900系列交換機等擁有這一功能,為您的網絡傳輸保駕護航。
相關文章推薦
郵箱地址
-
Cat5e、Cat6、Cat6a和Cat7網線有什麼區別?哪個更好?
2020年08月21日
-
一文帶你了解SFP、SFP+、SFP28、QSFP+和QSFP28之間的區別
2024年04月13日
-
OM1、OM2、OM3、OM4和OM5多模光纖有什麼區別?
2021年11月24日
-
SFP端口是什麼?有什麼作用?可以接RJ45嗎?
2020年09月15日
-
PCIe卡知識掃盲:你想了解的都在這裡
2020年03月24日