nbhkdz.com冰点文库

DHCP Snooping技术概况

时间:2011-03-19


2.1 采用 DHCP 管理的常见问题: 管理的常见问题: 采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数,简化了用户网络 设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有: ? DHCP server 的冒充。 ? DHCP server 的 Dos 攻击。 ? 有些用户随便指定地址,造成网络地址冲突。 由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成 混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻 击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方 法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在 预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。 对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术,对于有些用户随便指定 地址,造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方 法技术。 2.2DHCP Snooping 技术概况 DHCP Snooping 技术是 DHCP 安全特性,通过建立和维护 DHCP Snooping 绑定表过滤不可信任的 DHCP 信息,这些 信息是指来自不信任区域的 DHCP 信息。DHCP Snooping 绑定表包含不信任区域的用户 MAC 地址、IP 地址、租用 期、VLAN-ID 接口等信息,如下表所示:

cat4507#sh ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------- ---- --------------------

00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

这张表不仅解决了 DHCP 用户的 IP 和端口跟踪定位问题,为用户管理提供方便,而且还供给动态 ARP 检测 DA) 和 IP Source Guard 使用。 2.3 基本防范 首先定义交换机上的信任端口和不信任端口,对于不信任端口的 DHCP 报文进行截获和嗅探, DROP 掉来自这些 端口的非正常 DHCP 报文,如下图所示:

基本配置示例如下表: IOS 全局命令: ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探

ip dhcp snooping 接口命令

ip dhcp snooping trust

no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务攻击 手工添加 DHCP 绑定表

ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 导出 DHCP 绑定表到 TFTP 服务器

ip dhcp snooping database tftp:// 10.1.1 .1/directory/file 需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上, 否则交换机重启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,不会再次发起 DHCP 请求, 如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。 2.3 高级防范 通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址, 通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址,通常这个地址和客户端的真是 IP 相同,但是如果攻击者不 修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ,实施 Dos 攻击, Port Security 就不起作用了, DHCP 嗅 探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些 交换机是缺省配置的,有些交换机需要配置,具体需要参考相关交换机的配置文档。


华为DHCP Snooping技术白皮书.pdf

华为DHCP Snooping技术白皮书 - DHCP Snooping 技术白皮书 文档版本 发布日期 01 2012-09-10 华为技术有限公司 版权所有 ? 华为技术有限公司...

DHCP Snooping功能和实例详解.doc

二、DHCP Snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支 持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性,交换机能 ...

锐捷DHCP-Snooping技术白皮书.doc

锐捷DHCP-Snooping 技术白皮书 锐捷 DHCP-Snooping 技术白皮书摘要本文介绍 DHCP-Snooping 和相关技术,说明了在 DCHP 应用环境下,如 何利用 DHCP-Snooping 技术并结合...

网管交换机DHCP Snooping介绍.doc

http://www.fiberroad.com.cn 网管交换机 DHCP Snooping 介绍 17.1 .1 DHCP Snooping 介绍 DHCP Snooping 技术DHCP 安全特性,通过建立和维护 DHCP Snooping ...

DHCP原理(含DHCP-snooping)_图文.ppt

DHCP原理(含DHCP-snooping)_信息与通信_工程科技_专业资料。DHCP原理 课程内容 DHCP简介 DHCP原理 DHCP扩展介绍实验与练习 本章小结 DHCP简介 ? 为什么会有DHCP? ...

DHCP SNOOPING总结.doc

DHCP SNOOPING总结 - cisco设备防止非法DHCP... 2.2DHCP Snooping 技术概况 DHCP Snooping 技术是 DHCP 安全特性,通过建立和维护 DHCP Snooping 绑 定表过滤不可信任...

ip dhcp snooping 技术学习笔记.doc

ip dhcp snooping 技术学习笔记 - ip dhcp snooping 技术学习笔记,DHCP Snooping技术DHCP安全特性,通过建立和维护DHCP Snooping绑定...

ip dhcp snooping.doc

下面是我在网上查到的关于 ip dhcp snooping 的东西,总结一下: 一、DHCP snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支持 ...

dhcp snooping技术解决IP冲突方案.doc

dhcp snooping 技术解决 IP 冲突测试 方案 一、测试拓扑 1、

DHCP Snooping功能与实例详解.doc

二、DHCP Snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通 过这种特性,交换机能够...

DHCP-SNOOPING.doc

下面是我在网上查到的关于 ip dhcp snooping 的东西,总结一下: 一、DHCP snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支持...

DHCP基础实现技术白皮书.doc

关于 DHCP Snooping 功能 和 DHCP 安全特性的介绍,请参见《DHCP 安全特性技术白皮书》。 2 技术应用背景 2.1 DHCP 协议产生的背景 BOOTP 协议(Bootstrap ...

12-DHCP Snooping典型配置举例.pdf

2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,...i 1 简介本文档介绍DHCP Snooping 相关应用的配置举例。 2 配置前提本文档...

Cisco交换机DHCP+Snooping功能详解+实例_图文.doc

二、DHCP Snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支持在每 个 VLAN 基础上启用 DHCP 监听特性。 通过这种特性, 交换机...

DHCP snooping(交换机配置指导).pdf

功能概述 1.dhcp-snooping 的主要作用就是隔绝非法的 dhcp server ,通过配置非...3 工作原理 DHCP Snooping 技术DHCP 安全特性,通过建立和维护 DHCP Snooping...

DHCP与DHCP_Snooping_图文.ppt

DHCP-Snooping 介绍; 3. DHCP-Snooping 作用; 4. DHCP-Snooping 配置; ? ?...? ? ? DHCP Snooping技术DHCP安全特性,通过 建立和维护DHCP Snooping绑定表...

开启Cisco交换机DHCP Snooping功能.doc

二、DHCP Snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性,交换机能够...

锐捷DHCP+DHCP snooping.doc

DHCP 服务器中取得 IP 地址 需求分析 DHCP Snooping 技术 DHCP Snooping 是一种通过建立 DHCP Snooping Binding 数据库, 过滤 非信任的 DHCP 消息,从而保证网络...

H3C_S7500E_DHCP_Snooping典型配置举例.pdf

H3C S7500E DHCP Snooping 典型配置举例 Copyright ? 2015 杭州华三通信技术有限...目录 1 简介 ...

开启Cisco交换机DHCP Snooping功能[1].pdf

二、DHCP Snooping 技术介绍 DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性,交换机能够...