很多朋友想了解關於dhcp的一些資料信息,下麵是(揚升資訊www.balincan8.com)小編整理的與dhcp相關的內容分享給大家,一起來看看吧。很多朋友想了解關於服務器類型的一些資料信息,下麵是(揚升資訊www.balincan8.com)小編整理的與服務器類型相關的內容分享給大家,一起來看看吧。
“為什麽我的筆記本電腦動態獲取了IP地址,我也無法訪問網絡?”
你在日常生活中遇到過這個問題嗎?
您是否懷疑過IP地址的真實?
是否來自授權的DHCP服務器?
如果沒有,如何防止這種情況發生?
本文,小編來您了解一下DHCP Snooping,通過它可以幫助用戶避免非法 IP 地址。
什麽是 DHCP 偵聽?DHCP Snooping 是一種第 2 層安全技術,並結合到功能強大的網絡交換機的操作係統中,它會丟棄被確定為不可接受的 DHCP 流量。
DHCP 偵聽可防止未經授權(惡意)DHCP 服務器向 DHCP 客戶端提供 IP 地址,DHCP 偵聽功能執行以下活動:
驗證來自不受信任來源的 DHCP 消息並過濾掉無效消息。構建和維護 DHCP Snooping 綁定數據庫,其中包含有關具有租用 IP 地址的不受信任主機的信息。利用 DHCP Snooping 綁定數據庫來驗證來自不受信任主機的後續請求。DHCP 偵聽如何工作?要弄清楚DHCP Snooping 是如何工作的,我們必須了解DHCP 的工作機製,即動態主機配置協議。啟用 DHCP 後,沒有 IP 地址的網絡設備將通過以下 4 個階段與 DHCP 服務器“交互”。
DHCP Snooping 通常將交換機上的接口分為兩類:可信端口和不可信端口,如下圖所示,可信端口是指其 DHCP 服務器消息是可信的端口或源,不受信任的端口是不信任 DHCP 服務器消息的端口。
如果發起了DHCP Snooping,則隻能通過可信端口發送DHCP offer 消息。否則,它將被丟棄。
在確認階段,將根據 DHCP ACK 消息創建 DHCP 綁定表,它記下主機的MAC地址、租用的IP地址、租用時間、綁定類型以及與主機關聯的VLAN號和接口信息,如下圖所示,主機與信息匹配失敗,它將被丟棄。
MAC地址 IP地址 租期(秒) 類型 虛擬局域網 界麵條目 1 e4-54-e8-9d-ab-42 10.32.96.19 2673 dhcp監聽 10 以太網 1/23條目 2 條目 3 ...DHCP Snooping 防範的常見攻擊1、DHCP欺騙攻擊當攻擊者試圖響應 DHCP 請求並試圖將自己(欺騙)列為默認網關或 DNS 服務器時,就會發生 DHCP 欺騙,從而發起中間人攻擊。
這樣,他們就有可能在轉發到真實網關之前攔截來自用戶的流量,或者通過向真實 DHCP 服務器發送阻塞 IP 地址資源的請求來執行 DoS。
2、DHCP饑餓攻擊DHCP 饑餓攻擊通常以網絡 DHCP 服務器為目標,目的是使用偽造的源 MAC 地址向授權的 DHCP 服務器發送 DHCP REQUEST 消息。
DHCP 服務器將響應所有請求,不知道這是 DHCP 饑餓攻擊,通過分配可用的 IP 地址,導致 DHCP 池耗盡。
如何啟用 DHCP 偵聽?DHCP Snooping 僅適用於有線用戶,作為接入層安全功能,它主要在包含 DHCP 服務的 VLAN 中的接入端口的任何交換機上啟用,在部署 DHCP Snooping 時,您需要在要保護的 VLAN 上啟用 DHCP Snooping 之前設置可信端口(合法 DHCP 服務器消息將流經的端口),這可以在 CLI 界麵和 Web GUI 中實現。
結論盡管 DHCP 簡化了 IP 尋址,但同時也引發了安全問題,為了解決這些問題,DHCP Snooping 是一種保護機製,可以防止非法 DHCP 服務器訪問無效的 DHCP 地址,並可以抵禦試圖耗盡所有現有 DHCP 地址的資源耗盡攻擊。
本文到此結束,希望對大家有所幫助呢。
