洛阳新闻,党建新农村建设,蔷靖潞影,杨雨婷 张书记
 
位置: 亚洲金融智库网 > 网络安全 > 正文

如何使用DHCP snooping技术防御网络攻击

时间:2022-05-13 02:13
本文关于如何使用DHCP snooping技术防御网络攻击,据亚洲金融智库2022-05-13日讯:

企业内部访问者与外部访问者的数量在不断变化,这增大了它所面对的安全威胁,而且内外访问的界线也在逐渐模糊。如果一个组织在设计网络架构时加入了不安全的系统和协议,那么网络基础架构就可能有风险。例如,有时候一些2层协议的安全性就被忽视了,如动态主机配置协议(DHCP)。DHCP是一种辅助协议,它工作在后台,大多数用户都不会注意到它的存在。事实上,这种没有得到重视的情况就意味着供应商也可能会忽略这种攻击。DHCP snooping就是一种可用于防御许多常见攻击的防控技术。DHCP可能受到几种不同方式的攻击,其中包括恶意DHCP服务器或本地交换网络的地址解析协议(ARP)污染。并非所有意外事件都属于恶意攻击。举个例子来说,一位最终用户可能连接了一个启用DHCP的网络设备或路由器,结果就可能给其他用户分配一个无效的DHCP地址。另外,攻击者也可能发起了一个资源耗尽的攻击,并且尝试用光所有的DHCP地址。危害更大的方法是,攻击者会主动尝试重定向用户的DHCP服务器请求。当然,这些只是促使您使用DHCP snooping技术的一部分原因。这种中间人攻击的机制要求攻击者创建自己的DHCP服务器。接下来,攻击者会广播伪造的DHCP请求,并且尝试用光DHCP范围内的所有DHCP地址。结果,合法用户就无法从DHCP服务器获得或更新IP地址。然后,攻击者就开始用它的欺骗性DHCP服务器分配所抢占的DHCP地址,使它的地址成为新的网关。接收到这些地址的最终用户就可能被重定向到攻击者,然后再通向互联网。这样它就盗用了网络连接。上面的场景只是经典中间人攻击的另一种变化。这种技术需要将攻击者置于所攻击网络内部,从而让他能够窥探客户流量。或许您会认为这种攻击并不可怕,但是现在已经出现了许多专门发起这些攻击的工具,如Gobbler、DHCPstarv和Yersinia。在现有交换机上创建DHCP snoopingDHCP snooping是通过现有交换机在数据链路层实现的,它可以对抗攻击,阻挡未授权DHCP服务器。它使2层协议交换机能够检测从特定端口接收的数据帧,然后检查它们是否来自合法的DHCP服务器。这个2层处理过程包括几个步骤。首先,您需要在交换机上启用全局DHCP,然后再在各个虚拟LAN(VLAN)上启用DHCP snooping。最后,您还必须配置各个可信端口。下面是一个启用DHCP SNOOPING的例子:Switch(config)#ip dhcp snoopingSwitch(config)#ip dhcp snooping vlan 30Switch(config)#interface gigabitethernet1/0/1Switch(config-if)#ip dhcp snooping trust在这个例子中,交换机启用了全局DHCP snooping,然后再为VLAN 30启用DHCP snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP snooping可以帮助保证主机只使用分配给它们的IP地址,并且验证只能访问授权的DHCP服务器。在实现之后,DHCP snooping就会丢弃来自未可信DHCP服务器的DHCP消息。使用DHCP snooping防止ARP缓存污染DHCP snooping还可以跟踪主机的物理位置,从而可以防御(ARP)缓存污染攻击。它在防御这些攻击的过程中发挥重要作用,因为您可以使用DHCP snooping技术丢弃一些来源与目标MAC地址不符合已定义规则的DHCP消息。管理会收到通过DHCP snooping警报通知的违规行为。当DHCP snooping服务检测到违规行为时,它会在系统日志服务器上记录一条消息“DHCP Snooping”。DHCP snooping是实现2层协议流量安全性的第一步。恶意DHCP服务器不仅会导致网络问题,它们还可以被攻击者用于转发敏感流量和发起中间人攻击。如果还没有做好这些措施,那么一定要考虑实现这些防御措施,保证网络基础架构的安全性。

87详解DHCP Snooping的配置防止获取非法路由器的DHCP服务


专题推荐:防御(70)攻击(545)snooping(1)
打印此文】 【关闭窗口】【返回顶部
·上一篇:没有了 ·下一篇:没有了
防御(70)攻击(545)snooping(1)相关文章
推荐文章
最新图文


亚洲金融智库网 备案号: 滇ICP备2021006107号-276 版权所有:蓁成科技(云南)有限公司

网站地图本网站文章仅供交流学习,不作为商用,版权归属原作者,部分文章推送时未能及时与原作者取得联系,若来源标注错误或侵犯到您的权益烦请告知,我们将立即删除。