您的位置: 网界网 > 网络学院-网络通信 > 正文

思科采用DHCP服务的常见问题

2014年07月28日 15:58:04 | 作者:佚名 | 来源:中国IT实验室 | 查看本文手机版

摘要:文章标题:思科采用DHCP服务的常见问题。中国IT实验室思科(Cisco)网络技术频道,云集互联网精品网络技术文章,积累海量的技术内容库,为广大网络爱好者提供一个优秀的学习和查阅的平台。

标签
DHCP服务思科采用DHCP服务的常见问题

采用DHCP服务的常见问题

架设DHCP可以为客户端自动分配IP地址、掩码、默认网关、DNS等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:

●DHCP Server的冒充

●DHCP Server的DOS攻击,如DHCP耗竭攻击

●某些用户随便指定IP地址,造成IP地址冲突

1、DHCP Server的冒充

由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击

通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造 MAC的方式发送DHCP请求,但这种攻击可以使用 机的端口特性来防止。端口特性(PortSecurity)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源 MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址(+本站微信networkworldweixin),这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和 CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。

3、客户端随意指定IP地址

客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。

[责任编辑:孙可 sun_ke@cnw.com.cn]