非法DHCP服务器攻击的防御.doc

非法DHCP服务器攻击的防御.doc非法DHCP服务器攻击的防御
现今校园网络DHCP服务是一种非常常见的服务，该服务简化了海量学生 PC教室PC、服
务器的地址配置工作。然而有些校园网用户会产生非法 DHCP服务器的攻击行为，这种行为可能
是一种恶意操作，也可能是一种非法DHCP服务器攻击的防御
现今校园网络DHCP服务是一种非常常见的服务，该服务简化了海量学生 PC教室PC、服
务器的地址配置工作。然而有些校园网用户会产生非法 DHCP服务器的攻击行为，这种行为可能
是一种恶意操作，也可能是一种无意无操作，比如安装 Windows 2000 server的客户端，不小心
启用DHCP服务。这种操作无论哪种原因产生的，都会对校园网的运行产生负面影响。第一正常 用户从非法DHCF获得非法IP地址，就无法获取正确的网关和 DNS等信息；第二有些客户从非法
DHCP获得的地址会和其他正常用户产生地址冲突，可能刚好和某些重要校园服务器地址冲突， 会影响校园网关键应用的运行。
非法DHCP服务器攻击原理
*分酣正确的址
在某些情况下，入侵者可以将一个 DHCP服务器加入网络，令其“冒充”这个网段的DHCP服 务器。这让入侵者可以为缺省的网关和域名服务器（ DNS和WINS提供错误的DHCP信息，从而
将客户端指向黑客的主机。 这种误导让黑客获得其他用户对保密信息的访问权限， 例如用户名和
密码，而其他用户对攻击一无所知。过程如下：
用户发岀 DHCP Request
攻击者将自己的服务器设置成 DHCP Server并发岀错误的DHCP Offer
用户采用第一个响应其请求的 DHCP Server，得到错的DHCP信息
正确的 DHCP Server发岀DHCP Offer，用户不采用
如何防范非法 DHCP服务器攻击—DHCP Snooping非信任端口
如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任 DHCF报文，其中包
括对应交换机上不信任的端口的客户端 IP地址、MAC地址、端口号、 VLAN编号、租用和绑定类
型等消息。交换机支持在每个 VLAN基础上启用DHCP Snooping特性。
因此，通过使用 DHCPSnooping特性中的端口信任特性来防止用户私自设置 DHCPserver。一旦
在设备上指定专门的 DHCPserver服务器的接