14网络安全-dhcp安全.ppt

1、网络安全,学习目标,接入层安全,服务器安全,网络互访安全,DHCP 报文,DHCP工作原理,谁能给我分配IP地址？,我能给你分配IP地址10.0.0.2/24，以及网关、DNS地址等信息,好，我就用你分配的10.0.0.2/24,好，我确认！,DHCP Client,DHCP Server,TCP/IP,DHCP安全,如何防止下联用户架设非法DHCP服务器由于DHCP中继的存在，非法DHCP服务器和客户端在同一VLAN客户端选择会选择非法DHCP服务器的IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCP Discover,合法DHCP Offer,E1

2、/0/24,DHCP Discover,DHCP Request,非法DHCP Offer,DHCP Ack,如何防止非法DHCP架设？,DHCP SNOOPING,通过DHCPSNOOPING技术解决开启全局的DHCP SNOOPING特性将上连接口设置为信任接口,Switch dhcp-snooping,Switch-Ethernet-1/0/1dhcp-snooping trust,DHCP饿死攻击,DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文，向DHCP服务器申请大量的IP地址，导致DHCP服务器地址池中的地址耗尽，无法为合法的DHCP客户端分配IP地址，或

3、导致DHCP服务器消耗过多的系统资源，无法处理正常业务。,防dhcp饿死命令,进入相应接口开启mac地址检查功能,Switch interface ethernet1/0/1,Switch-Ethernet-1/0/1 dhcp-snooping check mac-address,DHCP报文的速率,为了避免非法用户发送大量的DHCP报文，对网络造成攻击，DHCP Snooping支持报文限速功能，限制接口接收DHCP报文的速率。当接口接收的DHCP报文速率超过限制的最高速率时，DHCP Snooping设备将丢弃超过速率限制的报文。,DHCP限速功能,进入相应接口开启mac地址检查功能,S

4、witch interface ethernet1/0/1,Switch-Ethernet-1/0/1 dhcp-snooping rate-limit rate,报文限速注意事项,只能在二层以太网端口和二层聚合接口上使能DHCP Snooping的报文限速功能。 如果二层以太网端口加入了聚合组，则该接口采用对应二层聚合接口下的DHCP Snooping报文限速配置。 EA系列单板不支持DHCP Snooping报文限速功能。,IP Source Guard,配置了IP Source Guard功能的端口接收到用户报文后，首先查找与该端口绑定的IP Source Guard绑定表项，如果报文的

5、特征项与某绑定表项匹配，则转发该报文，否则做丢弃处理。IP Source Guard用于过滤报文的特征项包括：源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定，形成如下几类绑定表项：IP绑定表项MAC绑定表项 IPMAC绑定表项,Source guard 原理,IP Source Guard的绑定功能是针对端口的，一个端口配置了绑定功能后，仅该端口接收的报文被限制，其它端口不受影响。,IP Source Guard 表项,IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。静态配置绑定表项全局静态绑定表项端口静态绑定表项动态配置绑定表项,全局开启 s

6、ource guard功能,全局开启source guard 功能,ip source binding ip-address ip-address mac-address mac-address,接口开启 source guard功能,进入相应接口开启source guard 功能,Switch interface ethernet1/0/1,Switch-Ethernet-1/0/1 ip verify source ip-address | ip-address mac-address | mac-address ,全局与端口绑定区别,IPv4静态绑定表项包括全局IPv4静态绑定表项和端口

7、IPv4静态绑定表项。IPv4静态绑定表项只能在配置了IPv4端口绑定功能的端口上生效端口静态绑定表项和动态绑定表项的优先级高于全局静态绑定表项，即端口优先使用端口上的静态或动态绑定表项对收到的报文进行匹配，若匹配失败，再与全局静态绑定表项进行匹配。,配置IPv4绑定表项数目的最大值,IPv4绑定表项数目的最大值用于限制端口上允许添加的IPv4静态绑定表项和IPv4动态绑定表项的数量总和。当端口上的IPv4绑定表项数目达到指定的最大值时，端口将不再允许添加新的IPv4绑定表项 缺省情况下，IPv4绑定表项数目的最大值为256,接口模式下：ip verify source max-entries

8、 number,与DHCP snooping配合的IPv4端口绑定功能配置举例,Host通过DHCP server获取IP地址。Device上使能DHCP snooping功能，记录Host的DHCP snooping表项。在端口GigabitEthernet1/0/1上启用IPv4端口绑定功能，利用记录的DHCP snooping表项过滤端口转发的报文，仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。,配置命令,配置DHCP snooping# 开启DHCP snooping功能。 system-viewDevice dhcp-snooping设置与DHCP serve

9、r相连的端口GigabitEthernet1/0/2为信任端口。Device interface gigabitethernet 1/0/2Device-GigabitEthernet1/0/2 dhcp-snooping trustDevice-GigabitEthernet1/0/2 quit配置IPv4端口绑定功能配置端口GigabitEthernet1/0/1的IPv4端口绑定功能，绑定源IP地址和MAC地址。Device interface gigabitethernet 1/0/1Device-GigabitEthernet1/0/1 ip verify source ip-add

10、ress mac-addressDevice-GigabitEthernet1/0/1 quit,验证信息,显示端口GigabitEthernet1/0/1上的绑定表项信息。Device display ip source binding Total entries found: 1MAC Address IP Address VLAN Interface Type0001-0203-0406 192.168.0.1 1 GE1/0/1 DHCP-SNP显示DHCP snooping已有的动态表项，查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。Device dis

11、play dhcp-snoopingDHCP snooping is enabled.The client binding table for all untrusted ports.Type : D-Dynamic , S-StaticType IP Address MAC Address Lease VLAN InterfaceD 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet1/0/1从以上显示信息可以看出，端口GigabitEthernet1/0/1在配置IPv4端口绑定功能之后根据获取的DHCP snooping表项产生了动态绑定

12、表项。,与DHCP relay配合的IPv4端口绑定功能配置举例,组网需求:具体应用需求如下： Host（MAC地址为0001-0203-0406）通过DHCP relay从DHCP server上获取IP地址。 在接口Vlan-interface100上启用IPv4端口绑定功能，利用Switch上生成的DHCP relay表项过滤端口转发的报文，仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。,配置命令,(1) 配置IPv4端口绑定功能 在接口Vlan-interface100上配置IPv4端口绑定功能，绑定源IP地址和MAC地址。 system-viewSwitch

13、interface vlan-interface 100Switch-Vlan-interface100 ip verify source ip-address mac-address(2) 配置DHCP relay# 开启DHCP relay功能。Switch dhcp enable# 配置DHCP服务器的地址。Switch dhcp relay server-group 1 ip 10.1.1.1# 配置接口Vlan-interface100工作在DHCP中继模式。Switch interface vlan-interface 100Switch-Vlan-interface100 dhc

14、p select relay# 配置接口Vlan-interface100对应服务器组1。Switch-Vlan-interface100 dhcp relay server-select 1,验证信息,显示生成的IPv4绑定表项信息。Switch display ip source bindingTotal entries found: 1MAC Address IP Address VLAN Interface Type0001-0203-0406 192.168.0.1 100 Vlan100 DHCP-RLY,案例应用,在本案例中哪些区域会遇到哪些关于本节所学内容，用户的需求及解决方案是什么？,