应对伪造DHCP服务器攻击

■

DHCP使服务器能够动态地为网络中的其他终端提供IP地址，通过使用DHCP，就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。使用DHCP可以大大简化配置客户机的TCP／IP的工作，尤其是当某些TCP／IP参数改变时，如网络的大规模重建而引起的IP地址和子网掩码的更改。

图1 实验拓扑结构图

DHCP由于实施简单，特别适合人群数量大且流动性强的环境，例如跨国企业、高等院校等。通过DHCP服务，不用给来访者的终端做任何配置即可连入局域网。同时，由于局域网划分了大量VlAN，客户从一个 VLAN移动到另外一个VLAN也不需要改动终端的任何设置，非常方便。但是DHCP安全在网络安全方面是一个不可忽略的问题，伪造DHCP服务器等攻击时常困扰着我们网络管理员。

本文通过对几款市场上主流交换机厂商的入门级产品进行实验和比较，总结出一套应对伪造DHCP服务器攻击的配置方法。

本次实验的对象是思科的2918、华为的 S2700、H3C的S1626以及锐捷的S2928G。这几款属于入门级产品，大量的应用于工厂企业，大中院校作为接入级设备使用。实验思路是通过一台杂牌路由器模拟伪DHCP攻击源，接入到网络中。通过配置交换机的DHCP SnooPing功能或者端口隔离功能，实现对伪攻击源的屏蔽，使其无法影响网络的正常运行。

实验所用的交换机，因为厂商和版本不同，有些交换机并没有DHCP SnooPing检查功能，只能使用端口隔离技术来达到实验目的。实验拓扑结构采用3台同品牌交换机一组，分别用A、B、C代表，如图1所示。

由于DHCP攻击通常发生在一个VLAN里面，因此A、B、C三台交换机被设置处于同一VLAN里面。

实 验 1，思 科 2918交 换机:按照拓扑图接好以后，立刻发现PC1和PC2立即受到了伪DHCP攻击源的攻击，未获得正确的合法地址。由于思科2918系列交换机并没有DHCP SnooPing功能，于是在B、C交换机上所有端口（除与A保持连接的汇聚口）采用端口保护命令switchport protected。此时发现，PC1能正常获取合法DHCP地址，而PC2仍然受到伪攻击。经分析，端口隔离仅仅对本交换机端口进行隔离阻塞，由于与A的汇聚端口不能加入隔离组（否则网就不通了），伪DHCP广播仍可通过B交换机的汇聚端口发送广播到A交换机，再由A交换机通过与C交换机的汇聚端口下发到C交换机的所有端口，因此PC2仍旧被攻击。由此结论，继续对A交换机进行设置，将A交换机上的与B、C连接的汇聚端口也使用switchport protected。此时PC2 也能正常获取合法DHCP地址。

实 验2，华 为S2700交换机:华为此款交换机带有DHCP SnooPing功能,按照拓扑图接好以后，PC1、PC2均受到攻击。对B和C交换机配置①[ ]dhcp enable②[ ]dhcp snooPing enable两条全局命令。打开DHCP SnooPing功能。然后，分别进入B、C与A互联的汇聚口里面配置dhcp snooPing trusted（只信任汇聚口的DHCP广播包）。经测，PC1和PC2立即获得合法DHCP地址。

实 验 3，H3C 的 S1626：H3C这款交换机，在命令行中带有DHCP SnooPing的命令，但经过实际测试，对交换机没有产生任何作用，应该是跟高级交换机共用一个操作系统版本的缘故。因此智能采用类似思科交换机的配置策略。在B、C交换机上配置端口隔离命令port ISOlate，并应用到除与A连接以外的所有端口。同时将A交换机上的与B、C交换机互联的端口也配置端口隔离命令port ISOlate。经测，PC1和PC2立即获得合法DHCP地址。

实验 4，锐捷 S2928G：这款锐捷交换机带有DHCP SnooPing功能,按照拓扑图接好以后，PC1、PC2均受到攻击。对B和C交换机配置[] ip dhcp snooPing一条全局命令。打开DHCP SnooPing功能。然后，分别进入B、C与A互联的汇聚口里面配置ip dhcp snooPing trust（只 信任汇聚口的DHCP广播包）。经测，PC1和PC2立即获得合法DHCP地址。

由上面的实验得知，无论是交换机是否带有DHCP SnooPing 功能，我们都可以通过组合端口隔离的方式来防止伪DHCP服务器攻击。对于带有DHCP SnooPing 功能的交换机，同时打开端口隔离命令，使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，尤其对头痛的ARP病毒效果明显。