network - 2008-8-4 9:22:00
首先明确一些基本概念
1,DHCP是动态主机配置协议,主要用来让PC机自动获得IP地址,子网掩码,默认网关等信息
2,DHCP的发包方式为广播
3,当有多个DHCP的回应时,使用最先到达的回应
OK,根据上面的理论,我们就有了以下的攻击方式,DHCP欺骗攻击。请看下图
以上就是DHCP 欺骗攻击的全过程。究其攻击的根源在于交换机在同一个VLAN下所有接口都处于同一个广播域,因此DHCP包发出后,处于同一个 VLAN的PC机都应该会收到。只不过在正常情况下,只有DHCP Server才会对DHCP请求进行回应。但是没有人可以保证在一个VLAN里不会有人恶意或者是不小心的开启了DHCP server功能。那么我们如何来防范这种“不小心”了??
解决的方式为:在交换机上开启DHCP snooping功能,将普通PC连接的端口设置为非信任端口,一旦在此接口上收到DHCP 回应包,就将此接口down掉!当然也可以基于VLAN,配合DHCP的82选项做更细致的设置。
1,DHCP是动态主机配置协议,主要用来让PC机自动获得IP地址,子网掩码,默认网关等信息
2,DHCP的发包方式为广播
3,当有多个DHCP的回应时,使用最先到达的回应
OK,根据上面的理论,我们就有了以下的攻击方式,DHCP欺骗攻击。请看下图
以上就是DHCP 欺骗攻击的全过程。究其攻击的根源在于交换机在同一个VLAN下所有接口都处于同一个广播域,因此DHCP包发出后,处于同一个 VLAN的PC机都应该会收到。只不过在正常情况下,只有DHCP Server才会对DHCP请求进行回应。但是没有人可以保证在一个VLAN里不会有人恶意或者是不小心的开启了DHCP server功能。那么我们如何来防范这种“不小心”了??
解决的方式为:在交换机上开启DHCP snooping功能,将普通PC连接的端口设置为非信任端口,一旦在此接口上收到DHCP 回应包,就将此接口down掉!当然也可以基于VLAN,配合DHCP的82选项做更细致的设置。
