【转载】交换高级特性 —— DHCP snooping（DHCP欺骗泛红攻击）

目录

一、DHCP欺骗泛洪攻击

（1）钓鱼网站简介：

（2）DNS的作用：

（3）DHCP中继技术简介：

（3-1）核心交换机DHCP配置命令：

（4）dhcp欺骗详解：

第一步：pc2作为恶意攻击者会耗尽DHCP Sever的地址池，让DHCP Server不能给p c1分配地址池

第二步：pc2充当DNS和DHCP 欺骗pc1

（4-1）图解：

二、防御——DHCP snooping

（1）开启DHCP SNOOPING之后的效果：

（2）配置案列

---

一、DHCP欺骗泛洪攻击

（1）钓鱼网站简介：

• 钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微 [1] 。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

（2）DNS的作用：

• 把域名翻译为IP， 客户机向DNS服务器发送域名查询请求；DNS服务器告知客户机web服务器的IP地址，客户机与web服务器通信

（3）DHCP中继技术简介：

• 一般情况下，DHCP Server和DCHP Client都必须处于同一个网络中，这是因为DHCP的报文有些是以广播的形式发送，如果不位于同一个网络，则这些广播的报文就无法跨越三层路由设备传输。而在有些情况下，DHCP服务必须跨越不同的网络，这时，我们就可以配置DHCP中继服务。DHCP中继，其实就是在与DHCP Server不同而又需要申请DHCP服务的网络内，设置一个中继器，中继器在该网络中代替DHCP Server服务器接收DHCP Client的请求，并将DHCP Client发给DHCP Server的DCHP报文，以单播的形式发送给DHCP Server。DHCP Server在收到由DHCP发送来的DHCP 报文后，同样会把响应的DHCP报文发送给DHCP 中继。这样，DHCP其实是充当了一个中间人的作用，起到了在不同的网络中运行DHCP的目的。

（3-1）核心交换机DHCP配置命令：

interface Vlan 20
ip address 192.168.20.254 255.255.255.0
ip helper-address 192.168.10.1//将广播包变成单播单播包发给DHCP server
exit

（4）dhcp欺骗详解：

• 正常情况下：PC1通过DHCP Server获取到IP、网关、DNS，当PC1访问www.123.com的时候会首先会把域名202.99.96.68朝着DNS发送，然后DNS查询公网IP地址，把公网IP地址发给pc1,然后pc1会朝着100.1.1.1发起页面请求，正常访问Web服务器。
• 黑客恶意行为目的：当PC1访问外网正常的服务器时，使其访问这个钓鱼网站窃取他人信息。

第一步：pc2作为恶意攻击者会耗尽DHCP Sever的地址池，让DHCP Server不能给pc1分配地址池

• 首先，DHCP Server 是根据不同的mac地址分配IP地址，基于这一特性，pc2作为恶意攻击者，会创建一个discover报文：

• discover报文到达核心交换机以后，经过核心交换机的中继路由，提交给DHCP Server服务器，然后服务器根据这个网关地址从自己众多地址池里，找到对应网段的地址池，给pc2分配IP地址。
• 每个mac分配一个ip，然而核心交换机关心的是处于discover报文里的mac地址。所以恶意攻击者可以伪造大量的discover报文在极短的时间内耗尽地址池（随机产生discover报文中的mac地址）

第二步：pc2充当DNS和DHCP 欺骗pc1

• 当全部耗尽以后，pc2可以充当DHCP和DNS（一般是在Linux系统里开启）
• 所以当pc1再次发送discover报文的话，pc2肯定可以收到，所以现在由pc2给pc1分配
• IP：192.168.20.1 网关：192.168.20.4 DNS：192.168.20.4 ，此时pc1发送的，上网流量、DNS请求都发给了pc2（pc2作为DNS会做一个映射：www.123.com对应公网IP地址为200.1.1.1）
• 所以当pc1访问www.123.com的时候会把域名发给pc2 做一个域名解析，而pc2做出的域名解析结果为200.1.1.1，200.1.1.1对应的是钓鱼网站，所以你在访问www.123.com时，实际访问的是钓鱼网站（你在钓鱼网站上输入的所有用户名、密码......黑客都可以窃取到）
• 注：当大量产生BPDU报文时，就造成了泛洪攻击

（4-1）图解：

———————————————————————————————————————————————————————

二、防御——DHCP snooping

（1）开启DHCP SNOOPING之后的效果：

3560全局配置：
3560(config)#ip dhcp snooping //全局开启
3560(config)#ipdhcp snooping vlan 100 //VLAN100启用

3550配置：
3550(config)#ipdhcp snooping //全局开启
3550(config)#ipdhcp snooping vlan 100 //VLAN100启用

1、交换机启用DHCP snooping ，所有vlan接口默认为untrust非信任状态，无法接受来自DHCP server的offer报文和ACK报文，除非把此接口置为trust信任接口

sw-3550(config)#int f0/2
sw-3550(config-if)#ip dhcp snooping trust
sw-3550(config-if)#exit

2、检查二层数据帧源MAC地址和discover里面的PC MAC地址是否匹配，如果不匹配则丢弃（但是如果黑客可以设计算法使这两个同步变化，则还可以在接口启用端口安全技术）（DHCP根据discover 里面MAC地址报文分配IP，耗尽地址池主要就是根据discover报文里面的MAC地址）

3、可以在接口下针对DHCP报文进行限速，防御黑客利用DHCP报文进行广播泛洪攻击

针对DHCP报文进行限速：每秒这个接口可以发送DHCP报文10个
sw-3550(config)#int f0/6
sw-3550(config-if)#ipdhcp snooping limit rate 10
sw-3550(config-if)#exit

4、检查从PC收到的DHCP报文，如果PC发送的DHCP报文含有option 82（主要体现pc连接到那台交换机的哪个接口下）的话（违规行为）则丢弃此报文，因为只有交换机采用权限在DHCP报文里面插入option 82选项（交换机还会在discover报文里面插入对应VLAN的gateway ip地址）

5、检查是否有PC替代其他PC恶意退租IP地址（pc2发送恶意退租指令给DHCP server，让server回收pc1 IP地址，所以当DHCP server给其他pc分配IP地址的时候，分配的是pc1的IP，则会形成IP地址冲突，导致不能上网），以及检查从这个接口收到的DHCP报文是否合乎DHCP的报文规矩

6、配置DHCP snooping之后，交换机能够感知到DHCP server给PC分配的IP，于是系统自动一张扩展的CAM（mac）地址表（条件是必须有dhcp server和client及交换机开启dhcp snooping，如果没有dhcp server可以自己写，但是交换机必须开启dhcp snooping）将IP地址和传统的mac地址表及IP地址租期关联起来。当用以其他的高级安全应用；这个IP分配给了那个MAC，这个MAC连接在我的那个接口，这个接口属于那个VLAN，这个IP地址的租期多少时间。

（ 扩展mac（CAM）地址表格式：IP — MAC — 接口 — VLAN — 租期）

————————————————————————————————————————————————————————

（2）配置案列

3560全局配置：
3560(config)#ip dhcp snooping //全局开启
3560(config)#ipdhcp snooping vlan 100 //VLAN100启用

3550配置：
3550(config)#ipdhcp snooping //全局开启
3550(config)#ipdhcp snooping vlan 100 //VLAN100启用

观察PC2无法重新获取IP地址 ？

原因是：两台交换启用了DHCP snooping功能，默认启用此功能的交换机所有接口会拒绝接受来自DHCP serve的报文，需要把连接DHCP server的F0/2接口置为trust状态，可以接受offea和ACK报文

sw-3550(config)#int f0/2
sw-3550(config-if)#ip dhcp snooping trust
sw-3550(config-if)#exit

发现打上trust命令，PC2任然无法获取IP地址,为什么？

PC2发出discover报文，在经过3550的时候被插入了option 82选项，带有option82选项的报文传给3560的时候被拒绝接受

解决方案：
1、3550不插入option 82选项
sw-3550(config)#no ip dhcp snooping information option
2、3560允许option82选项从untruste接口进来
3560(config)#ip dhcp snooping information option allow-untrusted

针对DHCP报文进行限速：每秒这个接口可以发送DHCP报文10个

sw-3550(config)#int f0/6
sw-3550(config-if)#ipdhcp snooping limit rate 10
sw-3550(config-if)#exit

手工定义扩展的CAM表（交换机开启必须dhcp snooping）：

ip source binding mac地址 VLAN ID IP地址 接口

基于源MAC和源IP地址的过滤

Ip dhcp snooping
Ip dhcp snooping vlan 10
ip source binding 0001.0001.0001 vlan10 192.168.1.101 interface Fa0/7

启用端口安全：

Int f0/7
Switchport port-security（启用端口安全）
Ip verity source port-secuity ————检查源IP
Exit

对从F0/7接口进入的报文，根据源IP地址和源MAC地址进行认证审查，是否满足扩展的CAM表

防御 IP 地址欺骗攻击 ，mac地址欺骗攻击

ARP欺骗攻击（争对PC）防御：

ip dhcp snooping vlan 10
ip arp inspection vlan 10
ip arp inspection limit 15

默认1秒15个包，超过down，

判断ARP广播是否满足扩展的CAM表，满足通过，不满足丢弃

————————————————

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/qq_62311779/article/details/126340075