DHCP欺骗攻击 ARP欺骗攻击.ppt

DHCP 欺骗攻击 ARP 欺骗攻击攻击原理及防护主讲人:遗忘本人水平有限,如有错误,敬请谅解 1理解和防御欺骗攻击欺骗攻击之所以能够发生,是因为很多协议都需要主机返回应答消息,即使有时主机并没有收到请求。通过欺骗或假扮成另一台设备,攻击者可以重定向从预定目标来的部分或全部流量,或者重定向去往预定目标的部分或全部流量。攻击开始后, 被攻击设备发出的所有流量会穿越攻击者的计算机,然后才转发到路由器、交换机或主机。 2提纲? DHCP 欺骗攻击? DHCP snooping ( DHCP 侦听) ? ARP 欺骗攻击? Dynamic ARP inspection (动态 ARP 检测) 3 DHCP 攻击过程的实施顺序?攻击者把未授权的 DHCP 服务器链接到交换机端口?客户端发送广播,来请求 DHCP 配置信息?未授权 DHCP 服务器在合法 DHCP 服务器之前进行应答,为客户端分配攻击者所定义的 IP配置信息?主机把攻击者提供的不正确的 DHCP 地址当作默认网关,从而把数据包发送给攻击者的地址 4 DHCP 欺骗攻击 5 DHCP 欺骗攻击 67以上就是 DHCP 欺骗攻击的全过程。究其攻击的根源在于交换机在同一个 VLAN 下所有接口都处于同一个广播域,因此 DHCP 包发出后,处于同一个 VLAN 的 PC 机都应该会收到。只不过在正常情况下,只有 DHCP Server 才会对 DHCP 请求进行回应。但是没有人可以保证在一个 VLAN 里不会有人恶意或者是不小心的开启了 DHCP server 功能。那么我们如何来防范这种“不小心”了?? 解决的方式为:在交换机上开启 DHCP snooping 功能,将普通 PC 连接的端口设置为非信任端口, 一旦在此接口上收到 DHCP 回应包,就将此接口 down 掉!当然也可以基于 VLAN ,配合 DHCP 的 82 选项做更细致的设置。 8 DHCP snooping 技术介绍?只转发从信任端口进来的 DHCP offer 报文?只转发报文中 MAC 地址与数据帧中的 MAC 地址相同的请求报文?对端口的 DHCP 报文进行限速? DHCP 监听会建立一张 DHCP 监听绑定表( DHCP Snooping Binding )内容包括了该非信任端口的客户端 IP地址、 MAC 地址、端口号、 VLAN 编号、租期等信息。 9 Trust port 与 untrust port 10