Cisco交换机DHCP Snooping功效[网络技术]

1、采取DHCP服务的常见问题
           
            架设DHCP服务器可认为客户端自动分配IP地址、掩码、默许网关、DNS服务器等网络参数,简化了
            网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题
            常见的有:
            ·DHCP Server的假充
            ·DHCP Server的DOS攻击,如DHCP耗竭攻击
            ·某些用户随便指定IP地址,造成IP地址冲突
            1、DHCP Server的假充
            由于DHCP服务器和客户端之间没有认证机制,所以假如在网络上随便增添一台DHCP服务器,它
            便可认为客户端分配IP地址以及其他网络参数.只要让该DHCP服务器分配错误的IP地址和其他网络参
            数,那就会对网络造成非常大的危害.
            2、DHCP Server的回绝服务攻击
            普通DHCP服务器通过查抄客户端发送的DHCP恳求报文中的CHADDR字段来判断客户端的MAC
            地址.正常情形下该CHADDR字段和发送恳求报文的客户端真实的MAC地址是相同的.
            攻击者可以操纵假造MAC的方法发送DHCP恳求,但这种攻击可以利用Cisco 交换机的端口安全特
            性来避免.端口安全特点（Port Security）可以限制每个端口只利用唯一的MAC地址.但是假如攻击者不
            改正DHCP恳求报文的源MAC地址,而是改正DHCP报文中的CHADDR字段来实施攻击,那端口安全
            就不起作用了.
            由于DHCP服务器认为差别的CHADDR值表示恳求来自差别的客户端,所以攻击者可以通过大量发
            送假造CHADDR的DHCP恳求,招致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户供应网
            络地址,这是一种DHCP耗竭攻击.DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与假造的DHCP服
            务器配合利用.当正常的DHCP服务器瘫痪时,攻击者便可以成立假造的DHCP服务器来为局域网中的客
            户端供应地址,使它们将信息转发给预备截取的恶意计算机.
            乃至即便DHCP恳求报文的源MAC地址和CHADDR字段都是精确的,但由于DHCP恳求报文是广
            播报文,假如大量发送的话也会耗尽网络

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]  下一页