DHCP中继代理过程分析与安全控制
2022-03-22金海峰
金海峰
(江阴职业技术学院,江苏 江阴 214405)
1 引言
随着企业网络规模的不断扩大,尤其是智能手机、IPAD、无线笔记本,以及各种智能终端的普及与应用,传统手工配置IP地址的方式显得不够友好,管理工作量大,还极易造成IP地址冲突,影响终端的网络应用。DHCP作为一种典型的动态IP地址分配协议,通过配置DHCP服务器,可以对全网IP地址集中管理、统一分配,极大简化了IP地址分配、管理工作,提高工作效率,同时也增强了用户的网络体验感。
2 DHCP概述
动态主机配置协议DHCP(Dynamic Host Configuration Protocol)提供了一种动态分配IP地址的机制,DHCP使用C/S方式。当一台DHCP客户端启动时(或者手动开启地址更新进程),就广播一个DHCP DISCOVER报文,网络中的DHCP服务器收到DHCP DISCOVER报文后,从本地地址池中选择一个IP地址,以广播方式发送DHCP OFFER报文给客户端。DHCP客户端收到DHCP OFFER报文后,发送DHCP QEQUEST报文,申请IP地址的使用权。最后,DHCP服务器发送DHCP ACK确认地址分配。
DHCP DISCOVER报文是以广播形式发送的,这就要求每个子网中必须部署有DHCP服务器,因为三层设备的接口不转发广播报文。如果需要部署一台服务器同时面向多个子网提供服务,就必须在三层设备上启用DHCP RELAY功能,由三层设备负责转发DHCP服务器与客户端之间的DHCP报文[1]。
3 仿真实验
如图1所示,实验依托仿真平台HCL,选用PC主机、交换机、路由等设备,模拟DHCP网络。其中交换机SW1模拟接入设备,交换机SW2作为核心设备,模拟三层通信,主要起到DHCP中继代理的作用,DHCP服务器则是选用路由器来模拟。
图1 实验拓扑结构
主机、服务器以及网络设备IP地址详见表1所示。
表1 地址信息
3.1 连通性配置
参照图1和表1,完成交换机 SW1、SW2和DHCP服务器-1、DHCP服务器-2各IP地址、Vlan的配置。
(1)交换机SW1的配置
3.2 DHCP服务器配置[2]
以DHCP服务器-1为例,阐述DHCP服务器配置方法。
3.3 DHCP中继代理配置与分析
至此,全网连通性基本实现了,但是观察主机Vlan221的地址分配情况,却发现地址形式为169.254.0.0/16。169.254.0.0/16网段地址,一般出现于:DHCP客户端发送的DHCP请求,没有得到DHCP服务器的响应,即动态分配失败后,由系统自动分配的地址。由此可见,主机Vlan221发送的DHCP请求数据报可能在交换机SW2上被丢弃了,因为三层设备不转发二层广播包。
3.3.1 配置方法
DHCP中继代理可以实现在不同子网之间处理和转发DHCP信息[3]。
3.3.2 过程分析
启动抓包程序Wireshark,抓取交换机SW1的接口G1/0/1、交换机SW2的接口G1/0/1上的通信报文,报文信息分别如图2、图3所示。
图2 接口SW1.G1/0/1上的DHCP报文
图3 接口SW2.G1/0/1上的DHCP报文
分析图2、图3可以得知:主机Vlan221设置成动态获取IP地址后,该主机以广播形式(图2第1条报文,目标地址为有限广播地址255.255.255.255)发送DHCP DISCOVER报文,该广播报文由交换机SW2转发到DHCP服务器(图3第1条报文),DHCP服务收到DHCP DISCOVER报文后(图3第2条报文),以单播方式向交换机SW2发送DHCP OFFER报文,该报文再由SW2广播给主机Vlan221(图2第2条报文),后续的DHCP REQUEST、DHCP ACK报文也由中级代理交换机SW2转发。
同时,打开图2第1条和图3第1条报文详细信息(如图4、图5所示),不难发现:DHCP客户端通信端口为UDP68、DHCP中级代理和DHCP服务器通信端口为UDP67。在应用了ACL的DHCP网络中,必须依据端口号放行DHCP报文,否则会影响地址动态分配。
图4 主机发送的DHCP DISCOVER报文
图5 中继代理发送的DHCP DISCOVER报文
从图5可以发现,中继代理转发的DHCP DISCOVER报文中,尽管源地址为223.223.223.1,即SVI1的地址,但该报文中携带了中继IP地址221.221.221.1,因此,DHCP服务器收到 DHCP DISCOVER报文后,发送DHCP OFFER的目标地址为221.221.221.1。
3.4 DHCP安全性控制
DHCP网络的安全性主要包括两方面:非法DHCP服务器和非法DHCP客户机。首先,非法DHCP服务器接入到网络后,根据DHCP工作机制,谁先相应DHCP DISCOVER报文,就由谁优先负责分配地址。假设非法DHCP服务器所分配的网关地址均指向自身,则有可能造成DHCP客户端发送的所有数据包都要经过非法DHCP服务器,即非法DHCP服务器就获取了该主机的报文,造成个人数据泄露。其次,攻击主机通过修改DHCP请求报文中的chaddr字段,不停地发送伪请求,直到耗尽DHCP地址池,导致正常DHCP客户端不能够获取地址,这种攻击方式被称为DHCP饥饿攻击。
DHCP Snooping是一种DHCP安全特性,在设备上开启DHCP Snooping后,DHCP请求报文通过信任接口发送到合法的DHCP服务器[4],可以有效阻止非法DHCP服务器。
3.4.1 禁止非法DHCP服务器
参照3.2配置,完成DHCP服务器-2的配置。在交换机SW1上启用DHCP Snooping,配置方法如下:
[SW1]dhcp snooping enable
[SW1]int GigabitEthernet 1/0/24
[SW1-GigabitEthernet1/0/24]dhcp snoopingtrust
在交换机SW1上开启DHCP Snooping后,DHCP请求报文可以通过信任端口G1/0/24转发出去,端口G1/0/11接受不到DHCP请求报文,从而有效阻止了非法DHCP服务器的接入。抓取交换机SW1上接口G1/0/11的报文,也可以验证确实没有DHCP DISCOVER报文通过。
3.4.2 防止DHCP饥饿攻击
在交换机SW1上开启DHCP Snooping,并在连接主机的接口上开启地址检查功能,即当DHCP请求报文中chaddr字段地址与源主机MAC地址一致时,认为是合法DHCP请求报文,进行后续处理。如果不一致,则丢弃该报文[5]。
HCL仿真环境下无法模拟DHCP攻击,此实验须在真实环境下,进行测试。DHCP攻击主机选用Kali,攻击手段选用 DHCPx。
测试过程如下:
(1)开启DHCP攻击
运行命令:sudo dhcpx-ieth0,命令执行结果如图6所示。
图6 Kali发起DHCP攻击
(2)观察DHCP服务器可用地址池
[DHCP-1]display dhcp server free-ip
IP Range from221.221.221.3 to221.221.221.254
稍等片刻后,重新观察可用地址池,发现可用地址变少了,说明DHCP攻击生效了,IP地址池正在逐渐耗尽。
[DHCP-1]display dhcp server free-ip
IP Range from 221.221.221.6 to221.221.221.254
(3)配置防DHCP饥饿攻击策略
[SW1]dhcp snooping enable
[SW1]int GigabitEthernet 1/0/24
[SW1-GigabitEthernet1/0/24]dhcp snooping trust[SW1]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]dhcp snooping check mac-address
[H3C-GigabitEthernet1/0/1]dhcp snooping check request-message
[H3C-GigabitEthernet1/0/1]mac-address maxmac-count0
[H3C-GigabitEthernet1/0/1]undo mac-address max-mac-count enable-forwarding
[SW1]mac-address static 000c-29e9-fad4interface GigabitEthernet 1/0/1 Vlan 221
完成上述配置后,重新观察地址池,发现地址池没有任何变化,说明DHCP饥饿攻击失败了。
由此可以得出结论:在主机接入交换器上启用DHCP Snooping,在接入端口开启源地址、报文检查功能,并设置接口动态MAC地址表为0,即不允许非法源主机发送DHCP请求报文,而正常主机可以通过静态添加到MAC地址表中,以便动态获取IP地址信息。由此可以有效阻止DHCP饥饿攻击。
3.4.3 禁止静态IP地址主机入网
为了避免IP地址冲突,强制要求DHCP网络中所有主机必须动态获取地址,静态配置IP地址的主机禁止入网。
[SW1]dhcp snooping enable
[SW1]int GigabitEthernet 1/0/1
[SW1-GigabitEthernet1/0/1]dhcp snooping binding record
[SW1]Vlan221
[SW1-Vlan-221]arp detection enable
[SW1]int GigabitEthernet 1/0/24
[SW1-GigabitEthernet1/0/24]arp detection trust
[SW1-GigabitEthernet1/0/24]dhcp snooping trust
下联端口开启DHCP Snooping表项记录功能,上联端口配置成信任状态后,主机Vlan221非法配置了静态IP地址后,发现无法访问网络。抓取交换机SW1的接口G1/0/1上的数据包,也可以发现ping数据包都没有得到回应,即数据包丢失了。
4 结语
使用DHCP服务可以避免手工配置IP地址造成的配置错误、地址冲突,还可以减少手工配置花费的开销,提高网络的使用时效。针对物理设备上分析、研究DHCP原理可操作性差,不利于教学问题,在仿真环境下,以典型三层网络架构为应用模型,给出DHCP基本配置、中继代理、安全控制的详细配置方法,并深入分析研究了DHCP工作原理、工作机制,使师生深刻理解了DHCP工作原理,掌握了DHCP配置方法和安全控制方式,实验教学效果良好。