DHCP snooping
一、***原理:
DHCP Sproofing同样是一种中间人***方式。DHCP是提供IP地址分配的服务。当局域网中的计算机设置为自动获取IP,就会在启动后发送广播包请求IP地址。DHCP服务器(如路由器)会分配一个IP地址给计算机。在分配的时候,会提供DNS服务器地址。
***者可以通过伪造大量的IP请求包,而消耗掉现有DHCP服务器的IP资源。当有计算机请求IP的时候,DHCP服务器就无法分配IP。这时,***者可以伪造一个DHCP服务器给计算机分配IP,并指定一个虚假的DNS服务器地址。这时,当用户访问网站的时候,就被虚假DNS服务器引导到错误的网站。
DHCP Sproofing成功的前提是有计算机请求IP。如果计算机使用静态IP,或者在***前就获取IP,就不会遭受这类***。
二、DHCP Snooping技术介绍
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
DHCP监听将交换机端口划分为两类:
?非信任端口:通常为连接终端设备的端口,如PC,网络打印机等
?信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭***。
信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来***网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播***。
DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCPOffer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Int
00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
这张DHCP监听绑定表为进一步部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。说明:
I. 非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。
信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。
II.交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查,DHCP报文不再只是被检查帧头了。
III. DHCP监听绑定表不仅用于防御DHCP***,还为后续的IPSG和DAI技术提供动态数据库支持。
三、DHCP snooping 配置:
Switch(config)#ip dhcp snooping //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10
//设置DHCP Snooping功能将作用于哪些VLAN
Switch(config)#ip dhcp snoopiing verify mac-address
//非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭***,该功能默认即为开启。
Switch(config-if)#ip dhcp snooping trust
//配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口
Switch(config-if)#ip dhcp snoopiing limit rate 15
//限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句,则show ip dhcp snooping的结果将不列出没有该语句的端口,可选速率范围为1-2048
建议,在配置了端口的DHCP报文限速之后,最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit
//使由于DHCP报文限速而被禁用的端口能自动从err-disable状态后,经过30秒时间才能恢复
Switch(config)#ip dhcp snooping information option
//设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态
Swtich(config)#ip dhcp snooping information option allow-untrusted
//设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000
//特权模式命令:手工添加一条DHCP监听绑定条目;expiry为时间值,即为监听绑定中的lease(租期)
Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db
//将DHCP监听表保存在flash中,文件名为dhcp_snooping.db
Swtich(config)#ip dhcp snooping database tftp://192.168.2.5/Switch/dhcp_snooping.db
//将DHCP事先确定可达。URL中的Switch是tftp服务器下一个文件夹;保存后的文件名为dhcp_snooping.db,当更改保存位置后会立即执行“写”操作。
Swtich(config)#ip dhcp snooping database write-delay 30
//指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒;可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60
//指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试。默认为300秒;可选范围为0-86400秒
说明:实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间,然后执行写入操作,如果写入操作失败(比如tftp服务器不可达),接着就等待timeout的时间,在此时间段内不断重试。在timeout时间过后,停止写入尝试。但由于监听绑定表已经发生了改变,因此重新开始等待write-delay时间执行写入操作,不断循环,直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db
//特权级命令:立即保存好的数据库文件中读取DHCP监听表。
显示DHCP Snooping的状态
Switch#show ip dhcp snooping
//显示当前DHCP监听的各选项和各端口的配置情况
Switch#show ip dhcp snooping binding //显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics //显示DHCP监听的工作统计
Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表;注意:本命令无法对单一条目进行清楚,只能清楚所有条目
Switch#clear ip dhcp snooping database statistics
//清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics //清空DHCP监听的工作统计计数器
原文地址:http://blog.51cto.com/ligtt/2311907