您當(dāng)前位置: 主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >
DHCP Snooping-網(wǎng)絡(luò)運維
2020-05-04 19:30 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師,在當(dāng)今網(wǎng)絡(luò)中,存在著大量攻擊,那么安全技術(shù)有多么的重要可想而知,這里跟大家介紹DHCP Snooping。DHCP Snooping簡介
定義
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一種安全特性,用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址,并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系,防止網(wǎng)絡(luò)上針對DHCP攻擊。目的
目前DHCP協(xié)議(RFC2131)在應(yīng)用的過程中遇到很多安全方面的問題,網(wǎng)絡(luò)中存在一些針對DHCP的攻擊,如DHCP Server仿冒者攻擊、DHCP Server的拒絕服務(wù)攻擊、仿冒DHCP報文攻擊等。為了保證網(wǎng)絡(luò)通信業(yè)務(wù)的安全性,可引入DHCP Snooping技術(shù),在DHCP Client和DHCP Server之間建立一道防火墻,以抵御網(wǎng)絡(luò)中針對DHCP的各種攻擊。
受益
· 設(shè)備具有防御網(wǎng)絡(luò)上DHCP攻擊的能力,增強了設(shè)備的可靠性,保障通信網(wǎng)絡(luò)的正常運行。· 為用戶提供更安全的網(wǎng)絡(luò)環(huán)境,更穩(wěn)定的網(wǎng)絡(luò)服務(wù)。
DHCP Snooping的基本原理
DHCP Snooping能夠?qū)崿F(xiàn)如下基本功能:信任功能
DHCP Snooping的信任功能,能夠保證客戶端從合法的服務(wù)器獲取IP(Internet Protocol)地址。網(wǎng)絡(luò)中如果存在私自架設(shè)的DHCP Server仿冒者,則可能導(dǎo)致DHCP客戶端獲取錯誤的IP地址和網(wǎng)絡(luò)配置參數(shù),無法正常通信。DHCP Snooping信任功能可以控制DHCP服務(wù)器應(yīng)答報文的來源,以防止網(wǎng)絡(luò)中可能存在的DHCP Server仿冒者為DHCP客戶端分配IP地址及其他配置信息。
DHCP Snooping信任功能將接口分為信任接口和非信任接口:
· 信任接口正常接收DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報文。
· 非信任接口在接收到DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報文后,丟棄該報文。
分析功能
開啟DHCP Snooping功能后,設(shè)備能夠通過分析DHCP的報文交互過程,生成DHCP Snooping綁定表,綁定表項包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口及該接口所屬的VLAN(Virtual Local Area Network)等信息。DHCP Snooping綁定表根據(jù)DHCP租期進(jìn)行老化或根據(jù)用戶釋放IP地址時發(fā)出的DHCP Release報文自動刪除對應(yīng)表項。
出于安全性的考慮,管理員需要記錄用戶上網(wǎng)時所用的IP地址,確認(rèn)用戶申請的IP地址和用戶使用的主機的MAC地址的對應(yīng)關(guān)系。在設(shè)備通過DHCP Snooping功能生成綁定表后,管理員可以方便的記錄DHCP用戶申請的IP地址與所用主機的MAC地址之間的對應(yīng)關(guān)系。
由于DHCP Snooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系,故通過對報文與DHCP Snooping綁定表進(jìn)行匹配檢查,能夠有效防范非法用戶的攻擊。
為了保證設(shè)備在生成DHCP Snooping綁定表時能夠獲取到用戶MAC等參數(shù),DHCP Snooping功能需應(yīng)用于二層網(wǎng)絡(luò)中的接入設(shè)備或第一個DHCP Relay上。
DHCP Snooping支持的Option82功能
概述
在傳統(tǒng)的DHCP動態(tài)分配IP地址過程中,DHCP Server不能夠根據(jù)DHCP請求報文感知到用戶的具體物理位置,以致同一VLAN的用戶得到的IP地址所擁有的權(quán)限是完全相同的。由于網(wǎng)絡(luò)管理者不能對同一VLAN中特定的用戶進(jìn)行有效的控制,即不能夠控制客戶端對網(wǎng)絡(luò)資源的訪問,這將給網(wǎng)絡(luò)的安全控制提出了嚴(yán)峻的挑戰(zhàn)。RFC 3046定義了DHCP Relay Agent Information Option(Option 82),該選項記錄了DHCP Client的位置信息。DHCP Snooping設(shè)備或DHCP Relay通過在DHCP請求報文中添加Option82選項,將DHCP Client的精確物理位置信息傳遞給DHCP Server,從而使得DHCP Server能夠為主機分配合適的IP地址和其他配置信息,實現(xiàn)對客戶端的安全控制。
Option82包含兩個常用子選項Circuit ID和Remote ID。其中Circuit ID子選項主要用來標(biāo)識客戶端所在的VLAN、接口等信息,Remote ID子選項主要用來標(biāo)識客戶端接入的設(shè)備,一般為設(shè)備的MAC地址。
設(shè)備作為DHCP Relay時,使能或未使能DHCP Snooping功能都可支持Option82選項功能,但若設(shè)備在二層網(wǎng)絡(luò)作為接入設(shè)備,則必須使能DHCP Snooping功能方可支持Option82功能。
Option82選項僅記錄了DHCP用戶的精確物理位置信息并通過DHCP請求報文中將該信息發(fā)送給DHCP Server。而如果需要對不同的用戶部署不同的地址分配或安全策略,則需DHCP Server支持Option82功能并在其上已配置了IP地址分配或安全策略。
Option82選項攜帶的用戶位置信息與DHCP Snooping綁定表記錄的用戶參數(shù)是兩個相互獨立的概念,沒有任何關(guān)聯(lián)。Option82選項攜帶的用戶位置信息是在DHCP用戶申請IP地址時(此時用戶還未分配到IP地址),由設(shè)備添加到DHCP請求報文中。DHCP Snooping綁定表是在設(shè)備收到DHCP Server回應(yīng)的DHCP Ack報文時(此時已為用戶分配了IP地址),設(shè)備根據(jù)DHCP Ack報文信息自動生成。
實現(xiàn)
設(shè)備作為DHCP Relay或設(shè)備在二層網(wǎng)絡(luò)作為接入設(shè)備并使能DHCP Snooping功能時均可支持Option82功能。使能設(shè)備的Option82功能有Insert和Rebuild兩種方式,使能方式不同設(shè)備對DHCP請求報文的處理也不同。· Insert方式:當(dāng)設(shè)備收到DHCP請求報文時,若該報文中沒有Option82選項,則插入Option82選項;若該報文中含有Option82選項,則判斷Option82選項中是否包含remote-id,如果包含,則保持Option82選項不變,如果不包含,則插入remote-id。
· Rebuild方式:當(dāng)設(shè)備收到DHCP請求報文時,若該報文中沒有Option82選項,則插入Option82選項;若該報文中含有Option82選項,則刪除該Option82選項并插入管理員自己在設(shè)備上配置的Option82選項。
對于Insert和Rebuild兩種方式,當(dāng)設(shè)備接收到DHCP服務(wù)器的響應(yīng)報文時,處理方式一致。
· DHCP響應(yīng)報文中有Option82選項:
§ 如果設(shè)備收到的DHCP請求報文中沒有Option82選項,則設(shè)備將刪除DHCP響應(yīng)報文中的Option82選項,之后轉(zhuǎn)發(fā)給DHCP Client。
§ 如果設(shè)備收到的DHCP請求報文中有Option82選項,則設(shè)備將DHCP響應(yīng)報文中的Option82選項格式還原為DHCP請求報文中的Option82選項,之后轉(zhuǎn)發(fā)給DHCP Client。
· DHCP響應(yīng)報文不含有Option82選項:直接轉(zhuǎn)發(fā)。
艾銻無限科技專業(yè):IT外包、企業(yè)外包、北京IT外包、桌面運維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運維,網(wǎng)站運維服務(wù)
以上文章由北京艾銻無限科技發(fā)展有限公司整理
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]保護(hù)無線網(wǎng)絡(luò)安全的十大
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 無線天線對信
- [網(wǎng)絡(luò)服務(wù)]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復(fù)服務(wù)]電腦運維技術(shù)文章:win1
- [服務(wù)器服務(wù)]串口服務(wù)器工作模式-服務(wù)
- [服務(wù)器服務(wù)]串口服務(wù)器的作用-服務(wù)維
- [服務(wù)器服務(wù)]moxa串口服務(wù)器通訊設(shè)置參
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運維|如何臨時關(guān)閉
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運維|如何重置IE瀏覽
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運維|win10系統(tǒng)升級后
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN簡介
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN技術(shù)的要求
IT電腦維護(hù)外包
關(guān)閉