DHCP欺骗攻击就是伪造真正的DHCP服务器为客户端主机分配一个错误的IP地址
接下来通过实验环境详细分析是如何伪造真正的DHCP服务器的
实验拓扑如下:
说明:
R1为真正的额DHCP服务器,R2为欺骗攻击的假的DHCP服务器,R4为客户端主机,R3后面用到在说
1.首先进入交换机上,更改连接四个路由器的接口为接入模式并开启端口加速
2.DHCP server创建地址池
3.主机开启接口的DHCP获取功能,可见此时客户端主机拿到了池塘分配的IP
这时,有一个假的DHCP server进入网络,想要欺骗此网络的客户端主机,即创建一个欺骗的地址池
接下来,来到客户端主机
客户端主机将接口关闭后开启就有可能拿到假的IP地址
- 可见,此时客户端主机拿到了一个错误的IP地址,当然这个地址是不能上网的
解决:
1.中继设备(二/三层交换机)上将所有的接口设置为非信任接口
2.将连接真正的DHCP的服务器的接口设为信任接口
3.真正的DHCP服务器开启针对中继信息信任
4.中继设备上查看dhcp的窥探绑定,可见是真实的DHCP地址池
假的DHCP服务器将不能发送offer与ack,因为它连接的中继设备接口是非信任的,只能发送discover 与request的DHCP消息数据包
新问题:
如果此时有一个主机向中继设备发送大量的discover的DHCP消息数据包,那么就会导致中继设备的瘫痪,R3就是这样一种搞破坏的存在
解决:
中继设备上限制对所有非信任接口的发送discover的频率
这里为了实验效果明显,设置R3的发送频率为1
R3上进行DHCP请求,则会导致交换机error-disable
下面是对DHCP欺骗攻击的思维导图形式
