HCIP——以太网交换安全(四)DHCP Snooping

目录

一、DHCP Snooping的知识点

二、DHCP Snooping实验拓扑

三、总结

一、DHCP Snooping的知识点

1.1、DHCP snooping 概述:

①DHCP Snooping使能DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务端获取IP地址。DHCP服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络针对DHCP攻击。

②目前DHCP协议在应用的过程中遇到很多安全的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

1.2、DHCP snooping信任功能

1.3、DHCP Snooping绑定表

二层接入设备使用了DHCP Snooping功能后,从收到DHCP ACK报文中的提取关键信息(包括PC的MAC地址以及获取到的IP地址等),并获取与PC连接的使用了DHCP Snooping功能的接口信息(包括接口编号以及接口所属的VLAN),根据这些信息生成DHCP Snooping绑定表。

1.4、DHCP饿死攻击

①攻击原理:攻击者持续大量地向DHCP Server申请IP地址,知道耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。

②漏洞分析:DHCP Server向申请者分配IP地址使,无法区分正常的申请者与恶意的申请者。

1.5、DHCP Snooping 防饿死攻击

解决方法:对于饿死攻击,可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请求。

1.6、改变CHADDR值Dos攻击

①攻击原理:攻击者持续大量地向DHCP Server申请IP地址,知道耗尽DHCP Server不能给正常的用户进行分配。

②漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的区分申请者与恶意申请者。

1.7、DHCP Snooping防改变CHADDR值的Dos攻击的解决方法是

可以在设备配置DHCP Snooping功能,检查DHCP Request报文中的CHADDR字段,如果该字段数据帧头部的源MAC相匹配,转发报文,否则,丢弃报文。如图所示

 

1.8、DHCP中间人攻击

就是DHCP中间人攻击本质上是一种Spoofing IP/MAC攻击。要想防止DHCP中间人攻击,其实就是要防止Spoofing IP/MAC攻击。

1.9、DHCP Snooping配置方法

需要在支持DHCP Snoping功能的交换机上进行配置,包括设置信任端口、非信任端口以及生成和管理DHCP Snooping绑定表等步骤。

 二、DHCP Snooping实验

 2.1、实验拓扑图:

2.2、实验要求

1.配置合法dhcp服务器以及非法dhcp服务器的dhcp功能;

2.在SW1开启dhcp snooping功能,并且将连接合法dhcp服务器的端口设置为信任接口;

3.在G0/0/3口设置通过dhcp获取ip地址的最大数量为1,修改PC1的mac地址,模拟网络攻击。

 2.3、详细步骤和命令

(1)在合法DHCP服务器上的配置

<Huawei>system-view

[Huawei]undo info-center enable

[dhcp serrver]sys dhcp server

[dhcp server]dhcp en

[dhcp server]int g0/0/0

[dhcp server-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[dhcp server-GigabitEthernet0/0/0]dhcp select interface

(2)在非合法DHCP服务器上的配置

<Huawei>system-view

[Huawei]undo info-center enable

[SW2]sys Attacker

[Attacker]int g0/0/0

[Attacker]dhcp en

[Attacker]int g0/0/0

[Attacker-GigabitEthernet0/0/0]ip address 192.168.1.254 24

(3)在LSW1上开启DHCP Snooping功能,并将连接合法DHCP服务的端口设置为信任接口

<Huawei>sys

[Huawei]undo info-center en

[Huawei]sys SW1

[SW1]dhcp en

[SW1]dhcp snooping enable

[SW1]vlan 1

[SW1-vlan1]dhcp snooping enable

[SW1-vlan1]dhcp snooping trusted interface g0/0/1

[SW1-vlan1]q

注:在这里为什么要设置信任端口呢?缺省情况下,默认所有的接口都是不信任的,因此要设置信任端口

(4)使用PC1和PC2获取IP地址

 

可以看到两台PC获取的IP地址都为合法服务器分配的IP地址。

(5)也可以数据抓包来查看

下面这张图片接口是指向合法DHCP服务器的接口G0/0/1

 

下面这张图片接口是指向非合法DHCP服务器的接口G0/0/2

从上面两张图就可以看出了

(6)查看DHCP Snooping生成的绑定表项

可以看到SW1生成了DHCP Snooping的绑定表项

(7)在G0/0/3口设置通过dhcp获取ip地址的最大数量为1,修改PC1的mac地址,模拟网络攻击

[SW1]int g0/0/3

[SW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1

[SW1-GigabitEthernet0/0/3]

修改PC1的MAC地址,重新获取IP地址,将MAC地址修改为5489-98F4-648D,然后再重新获取IP地址

可以看到,IP地址已经无法获取了,因为设备发出去的DHCP请求报文MAC地址与DHCP Snooping绑定表不一致,从而防止DHCP饿死攻击。

三、总结

总的来说,DHCP Snooping技术提供了一种有效的方法来保护网络不受DHCP相关攻击的影响,通过限制和监控DHCP流量,确保只有授权的DHCP服务器可以管理网络中的IP地址分配

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/453967.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PL/SQL Developer15和Oracle Instant Client安装配置详细图文教程

一、下载介质 1、Oracle Instant Client Oracle Instant Client Downloads | Oracle 中国 2、PL/SQL DEVELOPER PL/SQL Developer - Allround Automations Free trial - Allround Automations 二、安装介质。 1、安装plsqldev1504x64.msi。 一路默认下一步。 选择输入许可信…

Facebook的AI驱动发展:人工智能如何改变社交体验

个性化内容推荐 Facebook利用AI算法分析用户的行为数据&#xff0c;包括点赞、评论、分享和浏览历史。这些数据使得平台能够深入了解用户的兴趣和偏好&#xff0c;从而提供个性化的内容推荐。例如&#xff0c;用户在浏览动态时&#xff0c;AI系统会根据用户的互动历史&#xf…

大学生项目竞赛:如何通过面试选拔优秀队友

大学生项目竞赛&#xff1a;如何通过面试选拔优秀队友 面试前的自我提问行为面试法&#xff1a;识别真实水平选人后的用人策略结语 作为一名积极参与各类项目竞赛的大学生&#xff0c;我深刻体会到团队成员的选择对于项目成功的重要性。在这篇文章中&#xff0c;我将分享我的一…

计算机毕业设计 基于Python的社交音乐分享平台的设计与实现 Python毕业设计 Python毕业设计选题【附源码+安装调试】

博主介绍&#xff1a;✌从事软件开发10年之余&#xff0c;专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精…

用Aconvert.com将MOBI文件转换为PDF:一步步指南

在今天的数字时代&#xff0c;文件格式转换是日常办公和学习中常见的需求之一。MOBI格式的电子书文件在某些设备上不太方便阅读&#xff0c;而PDF格式则更加通用。本文将为你详细介绍如何使用Aconvert.com将MOBI文件转换为PDF文件。 1. 访问Aconvert.com 首先&#xff0c;打开…

【数据库设计】逻辑结构设计

E-R实体集的转换 概念结构设计之后就是对E-R图进行逻辑结构设计&#xff1a;即将E-R图转化成关系的过程。逻辑结构设计主要用于数据库管理系统上&#xff0c;为了让数据在计算机系统中更好地表示。 此设计过程用到的数据模型有&#xff1a;除了前面讲过的关系模型还有层次模型…

功能驱动方法是什么?如何有效管理技术债务以避免项目风险?

在软件开发和项目管理领域&#xff0c;“功能驱动方法”&#xff08;Feature-Driven Development, FDD&#xff09;和“技术债务”&#xff08;Technical Debt&#xff09;是两个与项目成功紧密相关的重要概念。功能驱动方法是一种高效的敏捷开发方式&#xff0c;而技术债务则代…

飞腾D3000多核性能

飞腾d3000多核应该超过龙芯3a6000不小于30%&#xff0c;所以了肯定超过10100。d3000单核应该比海光3250强一点点&#xff0c;多核可能稍有不如&#xff0c;因为没有超线程。 3A6000单核&#xff0c;多核性能均明显不如飞腾D3000&#xff0c;兆芯KX-7000&#xff0c;海光3350&a…

【Kenel】基于 QEMU 的 Linux 内核编译和安装

文章目录 安装虚拟机系统共享目录编译内核卸载内核参考资料 本文主要记录个人做存储系统研究时&#xff0c;在 QEMU 环境下编译和安装 Linux 内核的过程 安装虚拟机系统 之前在 利用 RocksDB ZenFS 测试 ZNS 的环境搭建和使用 给出过借助 VNC 进行图形化安装的步骤&#xff…

如何轻松使用pip安装Git仓库中的私有Python模块(使用pip和Git仓库发布和安装私有Python模块)

文章目录 📖 介绍 📖🏡 演示环境 🏡📒 Git模块 📒📝 Git仓库要求🔖 项目目录结构🔖 文件说明📝 编写setup.py📝 配置MANIFEST.in📝 推送代码到Git仓库📝 使用pip安装模块🔖 使用用户名和密码🔖 使用Personal Access Token (PAT)🔖 示例📝 更…

Linux系统——ssh远程连接

Linux系统——ssh远程连接 一、ssh协议介绍1、远程连接协议2、ssh服务基本操作3、ssh常用操作 二、ssh加密1、加密算法类型2、对称加密算法3、非对称加密算法 三、免密ssh的配置1、ssh认证方式2、配置免密ssh3、ssh-copy-id做了什么&#xff1f; 四、ssh服务配置 一、ssh协议介…

基于Java微信小程序的的儿童阅读系统的详细设计和实现(源码+lw+部署文档+讲解等)

详细视频演示 请联系我获取更详细的演示视频 项目运行截图 技术框架 后端采用SpringBoot框架 Spring Boot 是一个用于快速开发基于 Spring 框架的应用程序的开源框架。它采用约定大于配置的理念&#xff0c;提供了一套默认的配置&#xff0c;让开发者可以更专注于业务逻辑而不…

【解决proto文件生成的java 在intellij idea引用会报错】

现象 下载新项目 代码有引用proto生成的java类 会一直报红 我的idea版本2024.2.3&#xff0c;比较新&#xff0c;自动装载了插件&#xff0c;旧版本需要自己装 解决方式 Maven生成资源 这一步是为了先从proto生成java文件 安装这个插件 右键项目->Maven->Generated…

国产电脑能装win系统吗_国产电脑安装windows要求及方法

国产电脑能装win系统吗&#xff1f;‌国产电脑可以安装Windows系统&#xff0c;但需要满足特定条件。‌‌目前只有CPU基于X86架构国产电脑才可以安装windows。下面小编就和大家一起来分析下国产电脑安装windows要求及方法。 国产电脑能装win系统吗? 答&#xff1a;‌国产电脑可…

天锐绿盾 vs Ping32:企业级加密软件大比拼

在信息安全日益重要的今天&#xff0c;企业级加密软件成为了企业保护敏感数据的得力助手。在众多加密软件中&#xff0c;天锐绿盾与Ping32凭借各自的优势&#xff0c;赢得了市场的广泛认可。那么&#xff0c;这两款软件究竟有何异同&#xff1f;哪款更适合您的企业呢&#xff1…

【Linux】进程优先级进程切换

文章目录 进程优先级查看进程优先级进程优先级的修改 进程切换进程切换的概念 总结 进程优先级 进程优先级是操作系统中用于决定进程调度顺序的重要属性。它表示一个进程在系统资源分配和 CPU 调度中的相对重要性。优先级越高的进程通常会获得更多的 CPU 时间和资源&#xff0…

【网页设计】CSS 盒子模型

目标 能够准确阐述盒子模型的 4 个组成部分能够利用边框复合写法给元素添加边框能够计算盒子的实际大小能够利用盒子模型布局模块案例能够给盒子设置圆角边框能够给盒子添加阴影能够给文字添加阴影 1. 盒子模型 页面布局要学习三大核心, 盒子模型, 浮动 和 定位. 学习好盒子模…

Spring6梳理15——Bean的作用域

目录 15.1 引入 15.1.1 Orders类 15.1.2 bean-scope.xml 15.1.3 OrdersTest类 15.1.4 运行截图 15.1 引入 在Spring中可以通过配置bean标签的scope属性来指定bean的作用域范围&#xff0c;各取值含义参加下表&#xff1a; 取值含义创建对象的时机singleton&#x…

拥抱趋势,洞察智慧!创客匠人「创始人IP创新增长班」圆满收官!

拥抱未来趋势&#xff0c;打造创始人IP&#xff0c;建立长期品牌价值。10月15日-17日&#xff0c;由创客匠人主办、创客匠人创始人&CEO老蒋担任主讲人的「创始人IP创新增长班」线下大课在成都生物城凯悦嘉轩酒店圆满收官。 本次大课&#xff0c;强大的势能吸引了来自全国各…

你知道吗?这个岗位只招2人,但HR那边却收到了1w份简历

引言 在当前经济环境下&#xff0c;求职者面临的挑战越来越大。互联网行业尤其如此&#xff0c;许多人挤破头都想进入大厂&#xff0c;但竞争异常激烈。如今的就业市场确实变得异常艰难。然而&#xff0c;随着AI大模型技术的兴起&#xff0c;对于那些掌握了相关技能的专业人才…