組網需求
如圖1所示,SwitchA與SwitchB是二層交換機,SwitchC是用戶網關,作為DHCP Relay向DHCP服務器轉發DHCP報文,使得DHCP客戶端可以從DHCP服務器上申請到IP地址等相關配置信息。然而網絡中可能會存在針對DHCP的攻擊,例如:
- DHCP Server仿冒者攻擊:在網絡上隨意添加一臺DHCP服務器,它可以為客戶端分配IP地址以及其他網絡參數。如果該DHCP服務器為用戶分配錯誤的IP地址和其他網絡參數,將會對網絡造成非常大的危害。
- DHCP報文泛洪攻擊:若攻擊者短時間內向設備發送大量的DHCP報文,將會對設備的性能造成巨大的衝擊以致可能會導致設備無法正常工作。
- 仿冒DHCP報文攻擊:如果攻擊者冒充合法用戶不斷向DHCP Server發送DHCP Request報文來續租IP地址,會導致這些到期的IP地址無法正常回收,以致一些合法用戶不能獲得IP地址;而若攻擊者仿冒合法用戶的DHCP Release報文發往DHCP Server,將會導致用戶異常下線。
- DHCP Server服務拒絕攻擊:當存在大量攻擊者惡意申請IP地址或者某一攻擊者通過不斷改變CHADDR字段向DHCP Server申請IP地址,會導致DHCP Server中IP地址快速耗盡而不能為其他合法用戶提供IP地址分配服務。
為了為DHCP用戶提供更優質的服務,網絡管理員可以通過配置DHCP Snooping功能,實現DHCP攻擊防範。
圖一 配置DHCP Snooping攻擊防範組網圖
配置思路
通過在DHCP Relay配置DHCP Snooping進行攻擊防範:
1、 配置DHCP功能,實現SwitchC轉發不同網段的DHCP報文給DHCP服務器。
2、 配置DHCP Snooping的基本功能,防止DHCP Server仿冒者攻擊。同時可以使能ARP與DHCP Snooping的聯動功能,保證DHCP用戶在異常下線時實時更新綁定表。還可以配置丟棄GIADDR字段非零的DHCP報文,防止非法用戶攻擊。
3、 配置DHCP報文上送DHCP報文處理單元的最大允許速率,防止DHCP報文泛洪攻擊。同時可以使能丟棄報文告警功能,當丟棄的DHCP報文數達到告警閾值時產生告警信息。
4、 使能對DHCP報文進行綁定表匹配檢查的功能,防止仿冒DHCP報文攻擊。同時可以使能與綁定表不匹配而被丟棄的DHCP報文數達到閾值時產生告警信息功能。
5、 配置允許接入的最大用戶數以及使能檢測DHCP Request報文幀頭MAC與DHCP數據區中CHADDR字段是否一致功能,防止DHCP Server服務拒絕攻擊。同時可以使能數據幀頭MAC地址與DHCP報文中的CHADDR字段不一致被丟棄的報文達到閾值時產生告警信息功能。
本例僅涉及交換機SwitchC的配置。關於DHCP服務器的配置,本例中不予以詳細介紹,只給出需要的步驟描述。
配置文件
# SwitchC的配置文件
#
sysname SwitchC
#
vlan batch 10 100
#
dhcp enable
#
dhcp snooping enable ipv4
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 90
dhcp snooping alarm dhcp-rate enable
dhcp snooping alarm dhcp-rate threshold 500
arp dhcp-snooping-detect enable
#
dhcp server group dhcpgroup1
dhcp-server 10.2.1.2 0
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select dhcpgroup1
#
interface Vlanif100
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
dhcp snooping enable
dhcp snooping check dhcp-giaddr enable
dhcp snooping check dhcp-request enable
dhcp snooping alarm dhcp-request enable
dhcp snooping alarm dhcp-request threshold 120
dhcp snooping check dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr threshold 120
dhcp snooping max-user-number 20
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
dhcp snooping enable
dhcp snooping check dhcp-giaddr enable
dhcp snooping check dhcp-request enable
dhcp snooping alarm dhcp-request enable
dhcp snooping alarm dhcp-request threshold 120
dhcp snooping check dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr threshold 120
dhcp snooping max-user-number 20
#
interface GigabitEthernet2/0/1
port link-type access
port default vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
#
return
閱讀更多 華為網絡技術 的文章
