基于報文窺探的DHCP欺騙過濾機(jī)制

一、DHCP協(xié)議

1.協(xié)議簡介

DHCP協(xié)議（Dynamic Host Configuration Protocol）是一個工作在傳輸層的協(xié)議，基于UDP報文工作。DHCP協(xié)議占用2個網(wǎng)絡(luò)端口：UDP67端口和UDP68端口分別作為DHCP Server和DHCP Client的服務(wù)端口使用。

2.報文結(jié)構(gòu)

DHCP使用BOOTP協(xié)議的報文格式，但對許多字段的定義和內(nèi)容作出了修改。

報文結(jié)構(gòu)分為：op 字段、HTYPE和HLEN字段、跳數(shù)字段、事務(wù)ID字段、秒數(shù)字段、標(biāo)志字段、客戶機(jī)IP地址字段等，每個字段都有相對應(yīng)的功能和使用規(guī)格。

二、DHCP欺騙   

1.DHCP的工作流程

DHCP的主要工作流可以簡單理解為，一臺主機(jī)新加入網(wǎng)絡(luò)，從發(fā)出獲取IP的請求，到順利的地獲得一個IP地址，需要經(jīng)過發(fā)現(xiàn)、提供、選擇、確認(rèn)4個階段。

發(fā)現(xiàn)階段，即客戶機(jī)請求服務(wù)器的階段。提供階段，即DHCP服務(wù)器提供IP地址的階段。選擇階段，即DHCP客戶機(jī)選擇某臺DHCP服務(wù)器提供的IP地址的階段。確認(rèn)階段，即DHCP服務(wù)器確認(rèn)所提供的IP地址的階段。由于DHCP協(xié)議設(shè)計上的漏洞，客戶機(jī)在收到多個DHCP回應(yīng)報文（DHCP offer）時，沒有采用身份認(rèn)證或其他非法過濾機(jī)制，導(dǎo)致了客戶機(jī)有極大的幾率接受錯誤的或非法的DHCP配置，遭到黑客或惡意程序的DHCP欺騙攻擊。

2.DHCP欺騙攻擊

    如圖1所示，PC A接入交換網(wǎng)絡(luò)，希望通過DHCP來自動獲得IP地址等信息。于是PC A發(fā)出了DHCP請求報文（DHCP discover，廣播方式）。這個報文被傳遞到了PC B和DHCP SERVER上（理論上DHCP SERVER要求比PC B晚一點收到這個請求）。

圖1
如圖2，PC B和DHCP SERVER收到PC A的DHCP請求后，都進(jìn)行了DHCP回應(yīng)（DHCP offer），但是由于PC B與PC A在同一個子網(wǎng)內(nèi)，中間的聯(lián)系沒有經(jīng)過路由設(shè)備，所以理論上PC B的DHCP欺騙回應(yīng)可能早于DHCP SERVER的回應(yīng)包到達(dá)PC A。因此，PC A發(fā)送DHCP Request報文給PC B，接受PC B的DHCP配置；同時，發(fā)送DHCP NAK報文給DHCP SERVER，拒絕DHCP SERVER的DHCP配置。

圖2
此時，PC A已被PC B成功欺騙，PC A的網(wǎng)關(guān)地址指向的是DHCP偽裝者PC B，而不是正確的網(wǎng)絡(luò)路由器。
如圖3所示，PC A產(chǎn)生的所有出外網(wǎng)的數(shù)據(jù)都將首先流入PC B，被PC B竊?。ù鄹模?shù)據(jù)后，才轉(zhuǎn)發(fā)出外網(wǎng)；同樣地，來自外網(wǎng)的所有要到達(dá)PC A的數(shù)據(jù)，也將首先流入PC B，被PC B竊?。ù鄹模?shù)據(jù)后，才轉(zhuǎn)發(fā)給PC A。

圖3

三、基于報文窺探的DHCP欺騙過濾機(jī)制

1.工作原理

    為了杜絕DHCP欺騙的發(fā)生，我們需要建立基于報文窺探的DHCP欺騙過濾機(jī)制，通過對Client和服務(wù)器之間的DHCP交互報文進(jìn)行窺探，實現(xiàn)對非法DHCP報文的過濾。下邊對DHCP Snooping配置使用到的一些術(shù)語及功能進(jìn)行一些解釋。

    （1）DHCP Snooping TRUST口：由于DHCP獲取IP的交互報文是使用廣播的形式，從而存在著非法服務(wù)器影響用戶正常IP的獲取，更有甚者通過非法服務(wù)器欺騙竊取用戶信息的現(xiàn)象，為了防止非法服務(wù)器的問題，DHCP Snooping把端口分為兩種類型，TRUST口和UNTRUST口，設(shè)備只轉(zhuǎn)發(fā)TRUST口收到的DHCP Reply報文，而丟棄所有來自UNTRUST口DHCP Reply報文，這樣我們把合法的DHCP Server連接的端口設(shè)置為TURST口，其他口設(shè)置為UNTRUST口，就可以實現(xiàn)對非法DHCP Server的屏蔽。

（2）IP Source Guard：相當(dāng)于在端口上添加了一條ACL表項，默認(rèn)過濾該端口上所有用戶發(fā)送的IP報文（除DHCP報文外）。當(dāng)用戶通過DHCP交互申請IP地址后，會在該端口上添加一條過濾表項，允許該用戶使用該地址進(jìn)行IP報文的通訊，其他用戶依然禁止通訊。

（3）DHCP Snooping綁定數(shù)據(jù)庫：在DHCP環(huán)境的網(wǎng)絡(luò)里經(jīng)常會出現(xiàn)用戶私自設(shè)置IP地址的問題，用戶私設(shè)IP地址不但使網(wǎng)絡(luò)難以維護(hù)，并且會導(dǎo)致一些合法的使用DHCP獲取IP的用戶因為沖突而無法正常使用網(wǎng)絡(luò)，DHCP Snooping通過窺探Client和Server之間交互的報文，把用戶獲取到的IP信息以及用戶MAC、VID、PORT、租約時間等信息組成一個用戶記錄表項，從而形成一個DHCP Snooping的用戶數(shù)據(jù)庫，配合ARP檢測功能或ARP CHECK功能的使用，從而達(dá)到控制用戶上網(wǎng)的目的。

（4） DHCP Snooping速率限制： DHCP Snooping需要對所有非信任端的DHCP請求報文進(jìn)行檢查，同時將合法的DHCP請求報文轉(zhuǎn)發(fā)到信任口所在的網(wǎng)絡(luò)。為了防止在非信任端出現(xiàn)DHCP請求攻擊、控制流向信任網(wǎng)絡(luò)的DHCP請求速率，DHCP Snooping支持在端口對收到的DHCP報文進(jìn)行速率限制，當(dāng)接口收到的DHCP報文速率超過設(shè)定的限制時，直接丟棄接口上收到的DHCP報文。

2.DHCP欺騙過濾機(jī)制的實現(xiàn)

以一個簡例來介紹DHCP欺騙過濾機(jī)制的實現(xiàn)。網(wǎng)絡(luò)拓?fù)淙鐖D4所示，PC A的DHCP報文交互主要流經(jīng)與它直連的交換機(jī)的4個端口：G0/1、G0/2、G0/3、G0/4，其中通過G0/2、G0/3接口的DHCP報文都能到達(dá)正確的DHCP SERVER，而通過G0/4接口的DHCP報文時來自于DHCP偽裝者PC B，是我們需要過濾掉的目標(biāo)。

圖4
交換機(jī)具體配置如下：
switch> enable
/*進(jìn)入特權(quán)模式。
switch# configure terminal
/*進(jìn)入全局配置模式。
switch（config）# ip dhcp snooping
/*開啟DHCP報文窺探。
switch（config）# ip dhcp snooping information option
/*在進(jìn)行DHCP窺探轉(zhuǎn)發(fā)時，給每個DHCP請求添加option82選項，如果不開啟這個功能，DHCP中繼服務(wù)無法正常工作。
switch（config-if）# interface range G0/2-3
/*進(jìn)入接口配置模式，同時配置G0/2,G0/3接口。
switch（config-if）# ip dhcp snooping limit rate 10
/*配置DHCP包的轉(zhuǎn)發(fā)速率，超過后接口就shutdown，默認(rèn)不限制;
switch（config-if）# ip dhcp snooping trust
/*設(shè)置G0/2,G0/3接口為信任接口，信任接口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報文，不記錄IP和MAC地址的綁定，默認(rèn)是非信任接口。
G0/4接口沒有配置，默認(rèn)狀態(tài)是非信任接口，所有將會過濾掉所有DHCP Offer報文。
switch（config-if）# end
/*退出到特權(quán)配置模式。
switch# show ip dhcp snooping
/*顯示當(dāng)前的DHCP窺探狀態(tài)。
至此，DHCP欺騙過濾機(jī)制設(shè)置完畢。此時，當(dāng)DHCP偽裝者PC B的DHCP欺騙報文到達(dá)交換機(jī)的G0/4接口后，交換機(jī)通過報文解析，發(fā)現(xiàn)是來自于非信任接口的DHCP offer報文，將其丟棄，PC A將再也無法收到DHCP欺騙報文。

小結(jié)
在小型網(wǎng)絡(luò)中基于報文窺探的DHCP欺騙過濾機(jī)制的配置比較簡單，但當(dāng)網(wǎng)絡(luò)規(guī)模越來越大時，需要考慮和顧及的各種細(xì)節(jié)會比較復(fù)雜；特別是當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，需要對DHCP協(xié)議的工作原理有深刻的理解，才能快速排查故障，解決問題。