DHCP下私自指定ip和私自搭建dhcp(I)

我不是來吵架的

網(wǎng)絡(luò)管理員：現(xiàn)在用戶真是不省心，自己改個IP地址；私接AP、忘關(guān)DHCP，還有的下個小黑客程序，就想在你內(nèi)網(wǎng)里試試。單靠交換機能管嗎？
    測試工程師：能！很多交換機上的小功能都可幫大忙。
    測試實況：
    IP與MAC綁定
    思科的Catalyst 3560交換機支持DHCP
Snooping功能，交換機會監(jiān)聽DHCP的過程，交換機會生成一個IP和MAC地址對應(yīng)表。思科的交換機更進一步的支持IP source
guard和Dynamic ARP Inspection功能，這兩個功能任啟一個都可以自動的根據(jù)DHCP
Snooping監(jiān)聽獲得的IP和MAC地址對應(yīng)表，進行綁定，防止私自更改地址。
    Dynamic ARP Inspection功能還有一個好處是可以防范在2層網(wǎng)絡(luò)的中間人攻擊（見圖4）。
    思科在DHCP Snooping上還做了一些非常有益的擴展功能，比如Catalyst
3560交換機可以限制端口通過的DHCP數(shù)據(jù)包的速率，粒度是pps，這樣可以防止對DHCP服務(wù)器的進行地址請求的DoS攻擊。另外Catalyst
3560交換機還支持DHCP
Tracker，在DHCP請求中插入交換機端口的ID，從而限制每個端口申請的IP地址數(shù)目，防止黑客程序?qū)�DHCP服務(wù)器進行目的為耗盡IP地址池的
攻擊。華碩雖然不能調(diào)整速率，但是也會限制DHCP請求的數(shù)量。
    DHCP（動態(tài)主機配置協(xié)議）是一種簡化主機IP地址配置管理的TCP/IP標準。該標準為DHCP服務(wù)器的使用提供了一種有效的方法：即管理網(wǎng)絡(luò)中客戶機IP地址的動態(tài)分配以及啟用網(wǎng)絡(luò)上DHCP客戶機的其它相關(guān)配置信息。
   
在基于TCP／IP協(xié)議的網(wǎng)絡(luò)中，每臺計算機都必須有唯一的IP地址才能訪問網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)中計算機之間的通信是通過IP地址來實現(xiàn)的，并且通過IP
地址和子網(wǎng)掩碼來標識主計算機及其所連接的子網(wǎng)。在局域網(wǎng)中如果計算機的數(shù)量比較少，當然可以手動設(shè)置其IP地址，但是如果在計算機的數(shù)量較多并且劃分了
多個子網(wǎng)的情況下，為計算機配置IP地址所涉及的管理員工作量和復(fù)雜性就會相當繁重，而且容易出錯，如在實際使用過程中，我們經(jīng)常會遇到因IP地址沖突、
網(wǎng)關(guān)或DNS服務(wù)器地址的設(shè)置錯誤導(dǎo)致無法訪問網(wǎng)絡(luò)、機器經(jīng)常變動位置而不得不頻繁地更換IP地址等問題。
    DHCP則很好地解決了上述的問題，通過在網(wǎng)絡(luò)上安裝和配置DHCP服務(wù)器，啟用了DHCP的客戶機可在每次啟動并加入網(wǎng)絡(luò)時自動地獲得其上網(wǎng)所需的IP地址和相關(guān)的配置參數(shù)。從而減少了配置管理，提供了安全而可靠的配置。
   
配置DHCP服務(wù)的服務(wù)器可以為每一個網(wǎng)絡(luò)客戶提供一個IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)，以及DNS服務(wù)器的地址。DHCP避免了因手工設(shè)置IP地址及子網(wǎng)
掩碼所產(chǎn)生的錯誤，也避免了把一個IP地址分配給多臺主機所造成的地址沖突。降低了IP地址管理員的設(shè)置負擔，使用DHCP服務(wù)器可以大大地縮短配置網(wǎng)絡(luò)
中主機所花費的時間。
   
但是，隨著DHCP服務(wù)的廣泛應(yīng)用，也產(chǎn)生了一些問題。首先，DHCP服務(wù)允許在一個子網(wǎng)內(nèi)存在多臺DHCP服務(wù)器，這就意味著管理員無法保證客戶端只能
從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址，而不從一些用戶自建的非法DHCP服務(wù)器中取得IP地址；其次，在部署DHCP服務(wù)的子網(wǎng)中，指定
了合法的IP地址、掩碼和網(wǎng)關(guān)的主機也可以正常地訪問網(wǎng)絡(luò)，而DHCP服務(wù)器卻仍然會有可能將該地址分配給其他主機，這樣就會造成地址沖突，影響IP地址
的正常分配。
    針對上述問題，本文給出了一個解決方案，即通過使用Cisco提供的DHCP Snooping技術(shù)和Dynamic ARP Inspection技術(shù)，可以有效地防止以上問題的發(fā)生。
    這里首先對兩種技術(shù)做一個簡要的介紹，然后將給出一個應(yīng)用實例加以說明。
    二、DHCP Snooping技術(shù)DHCP Snooping是一種通過建立DHCP Snooping
Binding數(shù)據(jù)庫，過濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。DHCP
Snooping就像是非信任的主機和DHCP服務(wù)器之間的防火墻。通過DHCP
Snooping來區(qū)分連接到末端客戶的非信任接口和連接到DHCP服務(wù)器或者其他交換機的受信任接口。
    DHCP Snooping Binding數(shù)據(jù)庫包括如下信息：MAC地址、IP地址、租約時間、binding類型、VLAN
ID以及來自本地非信任端口的接口信息，但不包含通過受信任端口互相連接的接口信息。在啟用了DHCP
Snooping的VLAN中，如果交換機收到來自非信任端口的DHCP包，交換機將對目的MAC地址和DHCP客戶端的地址進行對比，如果符合則該包可
以通過，否則將被丟棄掉。
    在下述情況中，DHCP包將同樣被丟棄：
    l 來自外網(wǎng)或者防火墻的DHCP服務(wù)器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY.
    l 來自非信任端口，且目的MAC地址和DHCP客戶端的硬件地址不匹配。
    l 交換機收到DHCPRELEASE或者DHCPDECLINE的廣播信息，其MAC地址包含在DHCP snooping binding 數(shù)據(jù)庫中，但與數(shù)據(jù)庫中的接口信息不匹配
    l 通過DHCP中繼代理轉(zhuǎn)發(fā)的包不包括在內(nèi)
    三、Dynamic ARP Inspection技術(shù)Dynamic ARP inspection是一種驗證網(wǎng)絡(luò)中ARP包的安全特性，可以阻止、記錄并丟棄非法IP和MAC地址綁定的ARP包。
    Dynamic ARP inspection保證只有合法的ARP請求和響應(yīng)可以傳播。交換機會完成如下工作，截取所有來自非信任端口ARP請求和響應(yīng)，在更新ARP緩存或傳播數(shù)據(jù)包之前驗證所截取的數(shù)據(jù)包IP-MAC地址綁定是否合法，丟棄非法的ARP包。
    前面提到，DHCP Snooping會建立一個包含合法IP-MAC地址綁定信息的數(shù)據(jù)庫，Dynamic ARP
inspection基于該數(shù)據(jù)庫檢驗所截取ARP包的合法性。如果ARP包來自非信任接口，那么只有合法的可以通過。如果來自受信任端口，將可以直接通
過。
               
               
               

本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u1/50464/showart_416558.html