攻击DHCP的三种方法:
1.饿死攻击:
攻击原理:攻击者持续大量的向DHCP Server 申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
DHCP Snooping技术增强网络安全
部署在Switch交换机上(中间交换机)
类似于一个防火墙过滤报文
1.如何防范饿死攻击
检测CHADDR与原MAC进行对比。
发现不一致就丢弃。
2.如何防范仿冒DHCP Server攻击
Trusted信任端口
unTrusted非信任端口
交换机只接收信任端口的报文,不转发非信任端口的报文(丢弃)
添加信任
接口视图或全局视图
dncp snooping trusted
3.防止DHCP中间人攻击
交换机添加DHCP Snooping表
查看映射
攻击不符合的报文
DHCP Snooping与IPSG的联动技术
针对源IP地址的防护
1.饿死攻击:
攻击原理:攻击者持续大量的向DHCP Server 申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
2.漏洞分析:DHCP Server像申请者分配ip地址无法区分恶意申请。
3.DHCP中间人攻击
DHCP Snooping技术增强网络安全
部署在Switch交换机上(中间交换机)
类似于一个防火墙过滤报文
1.如何防范饿死攻击
检测CHADDR与原MAC进行对比。
发现不一致就丢弃。
2.如何防范仿冒DHCP Server攻击
Trusted信任端口
unTrusted非信任端口
交换机只接收信任端口的报文,不转发非信任端口的报文(丢弃)
添加信任
接口视图或全局视图
dncp snooping trusted
3.防止DHCP中间人攻击
交换机添加DHCP Snooping表
查看映射
攻击不符合的报文
DHCP Snooping与IPSG的联动技术
针对源IP地址的防护