基于DHCP Snooping技术的校园网非法DHCP服务器的接入

2015-01-01汤小康

网络安全技术与应用 2015年7期

汤小康

（广东财经大学信息化建设与管理办公室广东 510320）

0 引言

校园网中，DHCP（Dynamic Host Configuration Protoco1，动态主机配置协议）服务是一种非常常见的服务，该服务主要是自动为网络中的终端设备提供必要的网络参数如IP地址、子网掩码、网关、DNS等信息，简化了计算机等终端的地址配置工作。然而，由于DHCP报文在客户端和服务器的交互过程没有认证机制，如果网络中存在多台DHCP服务器，校园网中的用户有可能从非法DHCP服务器获得地址信息，从而导致网络中地址混乱，影响校园网正常运行。

利用交换机的DHCP监听特性，合理配置交换机相应端口参数，可以防止校园网中非法DHCP服务器为客户端分配错误的IP地址信息，仅允许合法的DHCP服务器为客户端提供服务。

1 DHCP Snooping

DHCP Snooping，意为DHCP 窥探，在一次客户端动态获取IP地址的过程中，通过对客户端和服务器之间的DHCP交互报文进行窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。

由于DHCP获取IP的交互报文是使用广播的形式，从而存在着非法的DHCP服务影响用户正常IP的获取，更有甚者通过非法的DHCP服务欺骗窃取用户信息的现象，为了防止非法的DHCP服务的问题，DHCP Snooping把端口分为两种类型，TRUST口和UNTRUST口，设备只转发TRUST口收到的DHCP应答报文，而丢弃所有来自UNTRUST口的DHCP应答报文，这样我们把合法的DHCP Server连接的端口设置为TRUST口，则其他口为UNTRUST口，就可以实现对非法DHCP Server的屏蔽。

当网络中存在DHCP服务器欺骗的时候就可以考虑采用这个功能，比如网络中有个别终端用的是window 2003或者2008系统默认开启了DHCP服务，或者是一些接入层的端口连接有TPLINK、DLINK这样的无线路由器，并开启了DHCP服务。推荐在用户接入层交换机上面部署该功能，越靠近PC端口控制的越准确，而每个交换机的端口推荐只连接一台PC，否则如果交换机某端口下串接一个HUB，在HUB上连接了若干PC的话，那么如果凑巧该HUB下发生DHCP欺骗，由于欺骗报文都在HUB端口间直接转发了，没有受到接入层交换机的DHCP Snooping功能的控制，这样的欺骗就无法防止了。

图1 网络拓扑图

2 DHCP Snooping配置

2.1 组网拓扑

网络拓扑如图1所示，核心交换机连接DHCP Server，接入交换机的G0/49端口上联至核心，下联计算机PC使用DHCP服务获取IP地址。核心交换机为锐捷S6810，接入交换机为锐捷S2352。

2.2 网络环境及故障描述

由于我校的无线网络尚在建设阶段，而随着手机、IPAD等移动智能终端的发展，用户对于无线网络的需求日趋明显，因此很多用户会在一些免认证的区域自己搭建一个热点，直接在校园网端口上连接一个类似于TP-LINK这样的无线路由器，而大部分用户又缺乏专业的网络知识，连接的无线路由器通常都使用了默认的配置，而路由器默认的配置通常都会开启DHCP服务为通过它连接校园网的终端分配IP地址，而这样的配置往往是导致发生DHCP欺骗的根源。

在图1中，如果用户没有连接TP-LINK路由器，PC1和PC2都会由DHCP Server来提供IP地址等网络参数，而当网络接入了TP-LINK无线路由器并开启DHCP服务，这时PC1和PC2都会接收由TP-LINK分配的IP地址等网络参数，PC2通过TP-LINK可以正常上网，而PC1是直接连接校园网但是却得到了错误的IP地址及网络参数导致无法连接校园网，这时候就发生了DHCP欺骗。