资料下载

完整的DHCP侦听指南,其工作原理,概念,DHCP侦听数据库,DHCP选项82,缓解DHCP饥饿攻击,DHCP劫持,中间人攻击& 恶意DHCP服务器

由管理员撰写。发表于 思科交换机-Catalyst交换机配置

4.3809523809524 1 1 1 1 1 评分4.38(21投票)
压住他

本文涵盖热门 第2层&三层网络攻击 专注于 DHCP饥饿攻击, 中间人攻击,无意 流氓DHCP服务器 并说明如何 安全功能 喜欢 DHCP监听 救命 保护网络 从这些攻击。我们解释 DHCP侦听如何工作,封面 DHCP侦听术语 (受信任,不受信任的端口/接口)等等。最后,我们来谈谈 DHCP侦听绑定数据库 也被 动态ARP检查 阻止 ARP中毒ARP欺骗攻击.

涵盖的主题包括:

DHCP饥饿攻击,中间人攻击,DHCP劫持&侦察攻击

DHCP饥饿 攻击 是针对网络的常见网络攻击 DHCP服务器。其主要目的是 洪水 组织的DHCP服务器 DHCP REQUEST消息 使用 欺骗源MAC地址。 DHCP服务器将响应所有请求,而不知道这是一个请求。 DHCP饥饿攻击,并分配可用的IP地址,直到其 DHCP池已耗尽.

此时,攻击者已使组织的DHCP服务器失效,现在可以启用他自己的DHCP服务器。 流氓DHCP服务器 服务网络客户端。 DHCP饥饿 通常伴随着 中间人攻击 作为 流氓DHCP服务器 分发伪造的IP地址参数,包括网关&DNS IP地址,以便所有客户端流量都通过攻击者进行检查。

流氓dhcp服务器人在中间攻击典型的中间人攻击。客户端数据流流过攻击者

攻击者使用数据包捕获和协议分析工具可以完全重建捕获的任何数据流,并从中导出文件。实际上,过程如此简单,只需要基本了解这些类型的网络工具即可。

在其他情况下 中间人攻击 可以用作 侦察攻击 目的是获得有关网络基础设施,服务的信息,同时还可以确定具有很高兴趣的主机,例如金融或数据库服务器。

到现在为止,显而易见的是,简单的攻击如何变成 主要安全威胁 对于任何组织。以上攻击是黑客如何轻松进行攻击的示例 渗透网络 并访问 有价值的信息 通过简单地连接一个 未经授权/不受信任的设备 到可用的网络端口,从而有效绕过防火墙和其他级别的安全性。

流氓DHCP服务器–主要安全威胁&网络中断的根源

流氓DHCP服务器 是一个普遍的问题 企业组织 并不总是与攻击直接相关。 恶意DHCP服务器 由于用户将消费级网络设备连接到网络基础结构而又不知道自己已连接了 未经授权的设备流氓 启用DHCP服务器.

流氓DHCP服务器 然后开始为网络中的主机分配IP地址,因此会导致网络连接问题,并且在许多情况下会导致严重的服务中断。在最佳情况下,为DHCP客户端提供了无效的IP地址,从而使它们与网络的其余部分断开了连接。最坏的情况是为客户端分配了网络基础设施设备使用的IP地址,例如 VLAN接口 在核心交换机或防火墙接口上,会导致严重的网络中断和冲突。

rouge dhcp服务器正在运行
运行中的流氓DHCP服务器,控制DHCP服务

尽管许多组织实施的安全策略不允许3 rd 派对或 未经授权的设备 为了连接到他们的网络,仍然存在一些事件,在这些事件中,不了解(或关心)安全隐患的用户继续将这些设备连接到网络基础结构,而无需咨询IT部门。

教育用户和 实施安全策略 这可能是非常具有挑战性的,这就是为什么需要建立安全机制来帮助减轻这些事件的原因所在, DHCP监听 进入图片。

对Cisco Catalyst和Nexus交换机的DHCP侦听支持。发牌& Features

DHCP监听有空 在两个 思科催化剂思科Nexus 平台交换机。这两个平台都被分类为 企业级交换机 并完全支持所有DHCP侦听功能。

DHCP监听 被认为是标准的安全功能,对于较旧的Catalyst IOS,较新的Catalyst IOS XE和Nexus NS-OS操作系统不需要任何其他许可,因此该功能在所有交换机上均可用并且可轻松配置。

示例 思科催化剂 支持的开关 DHCP监听 分别是:Cisco Catalyst 2960S,2960-X,3560、3750、3750-X,3850、4500、6500、9300、9400和9500系列。

示例 思科Nexus 支持的开关 DHCP监听 分别是:Nexus 2000、3000、5000、7000和9000系列。

DHCP监听可以是 全局启用 并在 每个VLAN。这意味着您可以启用它 所有VLAN (全局)或仅针对特定的VLAN范围,例如VLAN 1-20& VLANs 45-50.

DHCP侦听如何工作– DHCP侦听概念–受信任,不受信任的端口/接口

DHCP监听 是一个 第2层security switch feature 哪些块 未经授权 (流氓) DHCP服务器 从分配IP地址到 DHCP客户端。实际上,思科是第一个在其网络交换机中将DHCP侦听作为安全功能实现的供应商,此后其他供应商也提供了类似的功能。

重要的是要注意 DHCP监听 是一个 接入层保护服务 –它不属于核心网络。

方式 DHCP监听 作品相当简单。 DHCP侦听将所有交换端口分为两个简单类别:

  • 受信任的端口
  • 不受信任的端口

A 可信端口,也称为 可信源或可信接口是一个端口或源,由于其受组织的管理控制,因此可信任DHCP服务器消息。例如,您组织的DHCP服务器连接到的端口被视为 可信端口。下图也显示了这一点:

 dhcp监听受信任的不受信任的接口端口
DHCP侦听概念:受信任和不受信任的端口

一个 不受信任的端口,也称为 不受信任的来源 要么 不受信任的接口,是DHCP服务器消息所来自的端口 不信任。一个例子 不受信任的端口 是主机或PC连接到的主机 DHCP提供,DHCP ACK 要么 DHCPNAK消息 应该 永远不会被看到 因为这些仅由DHCP服务器发送。

DHCP侦听,违反DHCP侦听的行为丢弃的流量-Syslog消息

什么时候 启用DHCP侦听 交换机将开始丢弃特定类型的DHCP流量,以保护网络免受 流氓DHCP服务器。这是DHCP侦听将丢弃的流量类型的列表:

  • DHCP监听将 丢弃DHCP消息 DHCP确认, DHCPNAK, DHCP优惠 源于DHCP服务器 不信任 –即连接到 不受信任的端口.
  • DHCP监听将 丢弃DHCP消息发布 要么 拒绝报价 如果这些消息不是来自于 原始DHCP对话 举行了。这可以阻止攻击者尝试 终止 要么 下降 代表实际DHCP客户端的DHCP服务。
  • A DHCP中继代理转发包含非中继IP地址的DHCP数据包 0.0.0.0,或者中继代理转发包含以下内容的数据包: 选项82 信息给 不受信任的端口。有关深入分析,请参阅我们的 DHCP选项82 文章。
  • DHCP监听将 丢弃DHCP消息 在哪里 源MAC地址客户端MAC地址 不相同(请参见 DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL 下面)。

当DHCP侦听检测到 违反 触发事件的DHCP数据包将被丢弃,并在交换机的日志中记录一条消息。该消息可以包含以下条目之一:

  • %DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT:DHCP侦听已检测到来自 不受信任的端口。这是严重的违规行为,通常指向 流氓DHCP服务器不受信任的端口.
  • %DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL:DHCP侦听已检测到 源MAC地址以太网帧客户端MAC地址 在里面 DHCP消息 不相同(请参见下图)。
 dhcp监听匹配源mac地址失败
源MAC地址以太网帧客户端MAC地址 在里面 DHCP消息 必须始终匹配

IP DHCP侦听绑定数据库–动态ARP检查

什么时候 DHCP监听 启用后,它将开始构建 动态数据库 包含每个条目 不信任的主机租用的IP地址 如果主机与具有以下功能的VLAN相关联 启用DHCP侦听。没有为连接到的主机创建任何条目 可信接口.

绑定数据库中的每个条目都包含以下信息:

  • 的MAC地址 不信任的主机
  • 租用的IP地址 不信任的主机
  • 租期
  • 装订类型
  • VLAN号& interface the 不信任的主机 与..相联系

不信任的主机受信任的DHCP服务器 交换机将自动创建新条目,更新和清除 DHCP侦听绑定数据库.

例如,当IP地址租约到期或交换机收到 DHCP释放 来自的讯息 不信任的主机,它将从数据库中删除特定条目。另一方面,如果交换机看到一个条目,则会在数据库中创建一个条目。 DHCP确认 来自的讯息 受信任的DHCP服务器 确认IP地址已分配给 不信任的主机.

节目 ip dhcp监听绑定 命令显示内部的所有条目 DHCP侦听绑定数据库:

Cat3560-Firewall.cx# 显示ip dhcp监听绑定

MAC地址               IpAddress          Lease(sec)       Type            VLAN    Interface
------------------                ---------------            ----------          -------------        ----     --------------------
D0:76:58:0C:BB:80   192.168.4.50         85228         dhcp-snooping     4       GigabitEthernet0/5

绑定总数:1

 The DHCP侦听绑定数据库 也被其他Layer2 / 3安全功能使用,例如 动态ARP检查 有助于保护网络免受 ARP中毒 & ARP欺骗攻击.

IP DHCP侦听配置 即将发布的技术文章中将广泛介绍适用于Cisco Catalyst和Cisco Nexus交换平台的产品。

动态ARP检查, ARP中毒, ARP欺骗攻击 即将在安全文章中介绍。

DHCP监听选项82 –中继代理信息

DHCP选项82,又名 中继代理信息选项,最初是由 RFC 3046 允许 DHCP中继 (例如,交换机或路由器) 认同自己DHCP客户端 发送了DHCP消息。 DHCP选项82 用于大型城域以太网访问部署,在该部署中,需要DHCP来集中管理大量订户的IP地址。

什么时候 DHCP监听已启用 在Cisco Catalyst或Nexus交换机上,它将插入 选项82 领域 进入客户端的DHCP消息:

 启用dhcp侦听的交换机插入dhcp选项82
启用DHCP侦听的交换机将DHCP选项82插入DHCP请求

DHCP选项82 在组织内部通常不使用它,但是如果DHCP服务器支持,它确实提供了额外的保护层。 For example the DHCP服务器视窗 Server 2012 要么 2016 支持 选项82 允许管理员创建DHCP策略,以控制IP地址到网络中特定交换机的分配。

视窗 DHCP服务器选项82策略配置

分析结构 DHCP选项82 不在本文的讨论范围之内,但在下一篇文章中将对其进行深入介绍。

阅读我们的文章“DHCP选项82消息格式,分析。 DHCP侦听选项82注入&删除方法,可信–不可信的交换机端口以深入分析DHCP 选项82。

概要

中间人攻击 和网络中断 流氓DHCP服务器 是组织每天都要面对的严重网络安全威胁。在本文中,我们解释了如何 中间人攻击 允许攻击者获得 能见度 的网络,并可能导致曝光 敏感数据 在服务器和客户端之间流动。我们解释了 什么是DHCP监听,已检查 DHCP侦听如何工作 以及它如何有效 保护网络 从这些攻击。我们看了 流量下降 通过DHCP侦听, 违反警告 并说明了 DHCP侦听绑定数据库。最后,我们谈到了 DHCP监听选项82.

返回思科交换机部分

相关文章

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网 安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置