DHCP spoofing 攻擊及防范
責編:admin |2015-01-09 11:11:45DHCP spoofing 攻擊,又叫DHCP耗竭攻擊,屬于DDOS攻擊的一種,能夠使DHCP服務器沒有可分配的DHCP的地址,造成DHCP地址池枯竭。從而使網絡內正常主機無可分配的IP地址。同時,黑客利用冒充的DHCP服務器,為用戶分配一個經過修改的DNS服務器地址,引導至預先配置好的假的金融網站或電子商務網站,騙取用戶的帳戶和密碼,這種攻擊的危害是很大。
攻擊原理:
通常DHCP服務器通過檢查客戶端發送的DHCP請求報文中的CHADDR(也就是Client MAC address)字段來判斷客戶端的MAC地址。正常情況下該CHADDR字段和發送請求報文的客戶端真實的MAC地址是相同的。攻擊者可以利用偽造MAC的方式發送DHCP請求,或者攻擊者不修改DHCP請求報文的源MAC地址,而是修改DHCP報文中的CHADDR字段來實施攻擊。
由于DHCP服務器認為不同的CHADDR值表示請求來自不同的客戶端,所以攻擊者可以通過大量發送偽造CHADDR的DHCP請求,導致DHCP服務器上的地址池被耗盡,從而無法為其他正常用戶提供網絡地址,這是一種DHCP耗竭攻擊。DHCP耗竭攻擊可以是純粹的DOS攻擊,也可以與偽造的DHCP服務器配合使用。當正常的DHCP服務器癱瘓時,攻擊者就可以建立偽造的DHCP服務器來為局域網中的客戶端提供地址,使它們將信息轉發給準備截取的惡意計算機。甚至即使DHCP請求報文的源MAC地址和CHADDR字段都是正確的,但由于DHCP請求報文是廣播報文,如果大量發送的話也會耗盡網絡帶寬,形成另一種拒絕服務攻擊。
解決辦法:
1、在交換機端口上,開啟 dhcp snooping功能,對于請于mac和CHADDR中的mac進行檢驗,發現不一致就丟棄數據包
2、顯示請求速率
3、在交換機端口上限制mac地址數量
另外,在網絡中搭建DHCP服務器將可能造成2種危害
1、導致網絡混亂,分配ip地址無法用
2、例如黑客利用冒充的DHCP服務器,為用戶分配一個經過修改的DNS服務器地址,在用戶毫無察覺的情況下被引導至預先配置好的假的金融網站或電子商務網站,騙取用戶的帳戶和密碼,這種攻擊的危害是很大。
以上情況,可以通過在交換機上設置DHCP信任端口解決,對于其他非信任的交換機端口發來的dchp offer包進行丟棄。