DHCP網(wǎng)絡(luò)安全特性技術(shù)白皮書

1、DHCP網(wǎng)絡(luò)安全特性技術(shù)白皮書關(guān)鍵詞：DHCP，DHCP Server，DHCP Relay， DHCP Client，DHCP Snooping。摘 要：本文主要介紹了基于DHCP Snooping的DHCP安全特性，包括其產(chǎn)生背景、應(yīng)用及其在杭州華三通信技術(shù)有限公司（以下簡稱“H3C公司”）低端以太網(wǎng)交換機(jī)上的實現(xiàn)。并對比了基于DHCP中繼和DHCP Snooping的安全機(jī)制的異同，有利于用戶理解和選擇不同的產(chǎn)品和功能?？s略語清單：縮略語英文全名中文解釋DHCPDynamic Host Configuration Protocol動態(tài)主機(jī)配置協(xié)議BOOTPBootstrap Protoc

2、ol自舉協(xié)議ARPAddress Resolution Protocol地址解析協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 技術(shù)應(yīng)用背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術(shù)優(yōu)點 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 應(yīng)用場合 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 DHCP服務(wù)欺騙攻擊 HYPERLIN

3、K l _bookmark1 4 HYPERLINK l _bookmark2 ARP“中間人”攻擊 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 IP/MAC欺騙攻擊 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 DHCP報文泛洪攻擊 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 應(yīng)用限制 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 特性介紹 HYPERLINK l _bookmark4 7

4、HYPERLINK l _bookmark4 相關(guān)術(shù)語 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 相關(guān)協(xié)議 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 設(shè)備處理流程 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 DHCP Snooping表項的建立與老化 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 DHCP Snooping信任端口功能 HYPERLINK l _bookmark5 8 H

5、YPERLINK l _bookmark6 ARP入侵檢測功能 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 IP過濾功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark7 DHCP報文限速功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark8 DHCP Snooping與DHCP Relay安全機(jī)制比較 HYPERLINK l _bookmark8 12 HYPERLINK l _bookmark8 典型組網(wǎng)案例 HYPERLINK l _book

6、mark8 12 HYPERLINK l _bookmark9 總結(jié)和展望 HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark9 參考文獻(xiàn) HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark9 7 附錄 HYPERLINK l _bookmark9 13概述DHCP（Dynamic Host Configuration Protocol，動態(tài)主機(jī)配置協(xié)議）是在BOOTP協(xié)議基礎(chǔ)上進(jìn)行了優(yōu)化和擴(kuò)展而產(chǎn)生的一種網(wǎng)絡(luò)配置協(xié)議。InternetDHCP clientSwitch A(DHCP snooping)Sw

7、itch B(DHCP relay)DHCP server圖1 DHCP典型組網(wǎng)示意圖本文主要介紹基于DHCP Snooping技術(shù)的DHCP安全特性，主要包括其產(chǎn)生背景、應(yīng)用及其在H3C低端以太網(wǎng)交換機(jī)的實現(xiàn)。并對比了基于DHCP中繼和DHCP Snooping安全機(jī)制的異同，有利于用戶理解和選擇不同的產(chǎn)品和功能。關(guān)于DHCP“客戶/服務(wù)器”通信模式的實現(xiàn)原理，DHCP報文格式，以及H3C低端以太網(wǎng)交換機(jī)作為DHCP客戶端、DHCP服務(wù)器和DHCP中繼代理的工作過程請參見DHCP基礎(chǔ)實現(xiàn)技術(shù)白皮書。技術(shù)應(yīng)用背景DHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運行，有很多不安全因素。而且DHCP的運作

8、機(jī)制中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)照成混亂。例如，惡意用戶冒充DHCP服務(wù)器，發(fā)放錯誤的IP地址、DNS服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，來實現(xiàn)流量的截取等等。針對網(wǎng)絡(luò)中DHCP的不安全因素，杭州華三通信技術(shù)有限公司（以下簡稱“H3C公司”）開發(fā)了DHCP中繼和DHCP Snooping的安全特性。交換機(jī)可以通過運行在網(wǎng)絡(luò)層的DHCP中繼的安全功能，或運行在數(shù)據(jù)鏈路層的DHCP Snooping功能來監(jiān)聽DHCP報文，記錄服務(wù)器分配給客戶端的IP地址等配置信息，并通過與交換機(jī)上其它功能模塊的配合，提高整體網(wǎng)絡(luò)的安全性。技術(shù)優(yōu)點DHCP Snooping是

9、運行在二層接入設(shè)備上的一種DHCP安全特性。設(shè)備通過監(jiān)聽DHCP報文，過濾不可信任的DHCP信息；建立和維護(hù)DHCP Snooping表項，記錄用戶從DHCP服務(wù)器獲取的IP地址和用戶主機(jī)的MAC地址的對應(yīng)關(guān)系，一般可以與其它功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。DHCP中繼運行在網(wǎng)絡(luò)層，其安全功能與DHCP Snooping類似，同樣是記錄用戶的MAC地址與IP地址的信息，一般與ARP功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。應(yīng)用場合DHCP中繼和DHCP Snooping的安全特性主要應(yīng)用于接入層交換機(jī)上，實現(xiàn)常見二層網(wǎng)絡(luò)攻擊的防范。表1 常見網(wǎng)絡(luò)攻擊和防范對照表攻擊類型防范方法DHCP 服務(wù)欺騙

10、攻擊DHCP Snooping 功能、DHCP Snooping 信任端口功能ARP“中間人攻擊DHCP Snooping 功能、ARP 入侵檢測功能IP/MAC 欺騙攻擊DHCP Snooping 功能、IP 過濾功能DHCP 報文泛洪攻擊DHCP 報文限速功能DHCP服務(wù)欺騙攻擊在DHCP工作過程中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器，不僅會給網(wǎng)絡(luò)造成混亂，也對網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器，通常分為兩種情況：用戶不小心配置的 DHCP 服務(wù)器，由此引起的網(wǎng)絡(luò)混亂非常常見。黑客將正常的 DHCP 服務(wù)器中的 IP 地址耗盡，然后冒充合

11、法的 DHCP 服務(wù)器，為客戶端分配 IP 地址等配置參數(shù)。例如黑客利用冒充的 DHCP 服務(wù)器，為用戶分配一個經(jīng)過修改的 DNS 服務(wù)器地址，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，這種攻擊的危害是很大。DHCP ClientDHCP SnoopingDHCP ServerDHCPDHCP Server圖2 DHCP服務(wù)欺騙攻擊示意圖為了防止DHCP服務(wù)欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了“DHCP Snooping 信任端口”特性，對DHCP服務(wù)器信息來源進(jìn)行控制。只允許處理信任端口接收的DHCP響應(yīng)報文，而非信任端口接收到的DHCP響

12、應(yīng)報文被交換機(jī)丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務(wù)器獲取IP地址。ARP“中間人”攻擊按照ARP協(xié)議的設(shè)計，一個主機(jī)即使收到的ARP應(yīng)答并非自身請求得到的，也會將其IP地址和MAC地址的對應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。 HYPERLINK l _bookmark3 如圖3 所示，Host A和Host C通過Switch進(jìn)行通信。此時，如果有黑客（Host B） 想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機(jī)發(fā)送偽造的ARP應(yīng)答報文，使Host A和Host C用MAC_B更新自身

13、ARP映射表中與對方IP地址相應(yīng)的表項。此后，Host A 和Host C之間看似“直接”的通信，實際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作“中間人（Man-In-The-Middle）攻擊”。圖3 “中間人”攻擊示意圖為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機(jī)提供了“ARP入侵檢測”特性， 根據(jù)動態(tài)獲取的DHCP Snooping表項或靜態(tài)配置的IP與MAC綁定表項，對非法ARP報文進(jìn)行過濾，保證接入交換機(jī)只傳遞合法的ARP請求和應(yīng)答信息。IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/M

14、AC欺騙，黑客可以偽造報文的源地址進(jìn)行攻擊，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)，另外此方法也被應(yīng)用于DoS（ Deny of Service，拒絕服務(wù)）攻擊，嚴(yán)重的危害了網(wǎng)絡(luò)安全。為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了IP過濾特性，開啟該功能后，交換機(jī)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動態(tài)獲取的DHCP Snooping表項或靜態(tài)配置的IP與MAC綁定表項的記錄，防止攻擊者通過偽造源地址來實施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。DHCP報文泛洪攻擊DHCP報文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP請求報文發(fā)送

15、到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面,如果交換機(jī)上開啟了DHCP Snooping功能，會將接收到的DHCP報文上送到CPU。因此大量的DHCP報文攻擊設(shè)備會使DHCP服務(wù)器高負(fù)荷運行，甚至?xí)?dǎo)致設(shè)備癱瘓。為了防止上述DHCP報文泛洪攻擊，H3C低端以太網(wǎng)交換機(jī)提供了“DHCP報文限速”特性，使受到攻擊的端口暫時關(guān)閉，來避免此類攻擊對網(wǎng)絡(luò)和服務(wù)器的沖擊。應(yīng)用限制DHCP 中繼和 DHCP Snooping 的安全特性運行于不同的網(wǎng)絡(luò)環(huán)境中，因此兩者只需選擇其一應(yīng)用。在同一交換機(jī)上，DHCP Snooping 的啟動需以關(guān)閉DHCP 中繼為前提。為了使 DH

16、CP 客戶端通過 DHCP Snooping 設(shè)備從合法的 DHCP 服務(wù)器獲取IP 地址，必須將 DHCP Snooping 設(shè)備上與合法 DHCP 服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與 DHCP 客戶端相連的端口必須在同一個VLAN 內(nèi)。建議用戶不要在交換機(jī)上同時配置 DHCP Snooping 功能和靈活 QinQ 功能， 否則可能導(dǎo)致 DHCP Snooping 功能無法正常使用。配置 IP 過濾功能之前，需要先開啟交換機(jī)的 DHCP Snooping 功能，并配置信任端口。建議用戶不要在匯聚組中的端口上配置 IP 過濾功能。如果交換機(jī)支持 IRF 功能，建議用戶不要在

17、Fabric 端口上配置 IP 過濾功能。特性介紹相關(guān)術(shù)語DHCP Server：DHCP 服務(wù)器，為用戶提供可用的 IP 地址等配置信息。DHCP Client：DHCP 客戶端，通過 DHCP 動態(tài)申請 IP 地址的用戶。DHCP Relay：DHCP 中繼，用戶跨網(wǎng)段申請 IP 地址時，實現(xiàn) DHCP 報文的中繼轉(zhuǎn)發(fā)功能。DHCP Snooping：DHCP 監(jiān)聽，記錄通過二層設(shè)備申請到 IP 地址的用戶信息。DCHP Security：DHCP 安全特性，實現(xiàn)合法用戶 IP 地址表的管理功能。相關(guān)協(xié)議RFC 951：Bootstrap Protocol (BOOTP)RFC 1497：

18、BOOTP Vendor Information ExtensionsRFC 1542：Clarifications and Extensions for the Bootstrap ProtocolRFC 2131：Dynamic Host Configuration ProtocolRFC 2132：DHCP Options and BOOTP Vendor ExtensionsRFC 3046：DHCP Relay Agent Information Option設(shè)備處理流程DHCP Snooping表項的建立與老化開啟DHCP Snooping功能后，H3C低端以太網(wǎng)交換機(jī)根據(jù)設(shè)備的不

19、同特點可以分別采取監(jiān)聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。目前，H3C低端以太網(wǎng)交換機(jī)的DHCP Snooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口 HYPERLINK l _bookmark5 信息、租約信息，如圖4 所示。圖4 DHCP Snooping表項示意圖為了對已經(jīng)無用的DHCP Snooping動態(tài)表項進(jìn)行定期進(jìn)行老化刪除，以節(jié)省系統(tǒng)的資源，和減少安全隱患，H3C低端以太網(wǎng)交換機(jī)支持根據(jù)客戶端IP地址的租約對DHCP Snooping表項進(jìn)行老化。具體實現(xiàn)過程為：當(dāng)DH

20、CP Snooping至少記錄了一條正式表項時，交換機(jī)會啟動20秒的租約定時器，即每隔20秒輪詢一次DHCP Snooping表項，通過表項記錄的租約時間、系統(tǒng)當(dāng)前時間與表項添加時間的差值來判斷該表項是否已經(jīng)過期。若記錄的表項租約時間小于系統(tǒng)當(dāng)前時間與表項添加時間的差值，則說明該表項已經(jīng)過期，將刪除該條表項，從而實現(xiàn)DHCP Snooping動態(tài)表項的老化。需要注意的是：DHCP Snooping表項的老化功能有一定的局限性，當(dāng)DHCP服務(wù)器端的租約設(shè)置為無限期或者很長時，會出現(xiàn)老化不及時的現(xiàn)象。DHCP Snooping信任端口功能DHCP Snooping的信任端口功能所提供的是對于DHC

21、P服務(wù)器信息來源的控制，此功能通過將不信任端口接收的DHCP響應(yīng)報文丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務(wù)器獲取IP地址。信任端口是與合法的 DHCP 服務(wù)器直接或間接連接的端口。信任端口對接收到的 DHCP 報文正常轉(zhuǎn)發(fā)，從而保證了 DHCP 客戶端獲取正確的 IP 地址。不信任端口是不與合法的 DHCP 服務(wù)器連接的端口。如果從不信任端口接收到 DHCP 服務(wù)器響應(yīng)的 DHCP-ACK 和 DHCP-OFFER 報文則會丟棄，從而防止了 DHCP 客戶端獲得錯誤的 IP 地址。DHCP ClientDHCP SnoopingDHCP ServerUntrust PortTr

22、ust PortUntrust PortDHCPDHCP Server圖5 DHCP Snooping信任端口功能示意圖開啟DHCP Snooping功能后，交換機(jī)上的所有端口默認(rèn)被配置為非信任端口，此時從非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER報文都不會被交換機(jī)轉(zhuǎn)發(fā)、也不會上送CPU處理；當(dāng)某端口被配置為信任端口時，從該端口傳入的DHCP-ACK、DHCP-NAK及DHCP-OFFER報文將被鏡像至CPU處理。需要注意的是：目前H3C低端以太網(wǎng)交換機(jī)實現(xiàn)的DHCP Snooping功能是需要和DHCP Snooping信任端口功能配合使用的。啟動DHCP Sn

23、ooping功能后，為了使DHCP客戶端能從合法的DHCP服務(wù)器獲取IP地址，必須將與合法DHCP服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個VLAN內(nèi)。ARP入侵檢測功能ARP入侵檢測功能工作機(jī)制為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP（請求與回應(yīng)）報文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報文的合法性并進(jìn)行處理，具體如下。當(dāng) ARP 報文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項匹配，且 ARP 報文的入端口及其所屬VLA

24、N 與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項一致，則為合法 ARP 報文，進(jìn)行轉(zhuǎn)發(fā)處理。當(dāng) ARP 報文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項不匹配，或 ARP 報文的入端口，入端口所屬 VLAN 與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項不一致，則為非法 ARP 報文，直接丟棄，并通過 Debug 打印出丟棄信息提示用戶。圖6 ARP入侵檢測功能示意圖手工配置IP靜態(tài)綁定表項DHCP Snooping表只記錄了通過DHCP方式動態(tài)獲取IP地址的客戶端信息，如

25、果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCP Snooping 表記錄，因此不能通過基于DHCP Snooping表項的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機(jī)支持手工配置IP靜態(tài)綁定表的表項，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報文。ARP信任端口設(shè)置由于實際組網(wǎng)中，交換機(jī)的上行口會接收其他設(shè)備的請求和應(yīng)答的ARP報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應(yīng)答報

26、文能夠通過ARP入侵檢測問題，交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進(jìn)行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測。IP過濾功能IP過濾功能是指交換機(jī)可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進(jìn)行過濾的功能。在端口上開啟該功能后，交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有IP報文。（同時，需要考慮DHCP Snooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應(yīng)答報文，否則，允許DHCP應(yīng)答報文通過。）接著，下發(fā)ACL

27、規(guī)則，允許源IP地址為DHCP Snooping表項或已經(jīng)配置的IP靜態(tài)綁定表項中的IP 地址的報文通過。交換機(jī)對IP報文有兩種過濾方式：根據(jù)報文中的源 IP 地址進(jìn)行過濾。如果報文的源 IP 地址、接收報文的交換機(jī)端口號與 DHCP Snooping 動態(tài)表項或手工配置的 IP 靜態(tài)綁定表項一致， 則認(rèn)為該報文是合法的報文，允許其通過；否則認(rèn)為是非法報文，直接丟棄。根據(jù)報文中的源 IP 地址和源 MAC 地址進(jìn)行過濾。如果報文的源 IP 地址、源MAC 地址、接收報文的交換機(jī)端口號，與 DHCP Snooping 動態(tài)表項或手工配置的 IP 靜態(tài)綁定表項一致，則認(rèn)為該報文是合法的報文，允許其

28、通過；否則認(rèn)為是非法報文，直接丟棄。DHCP報文限速功能為了防止DHCP報文泛洪攻擊，H3C低端以太網(wǎng)交換機(jī)支持配置端口上對DHCP報文的限速功能。開啟該功能后，交換機(jī)對每秒內(nèi)該端口接收的DHCP報文數(shù)量進(jìn)行統(tǒng)計，如果每秒收到的DHCP報文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到DHCP報文攻擊）。此時，交換機(jī)將關(guān)閉該端口，使其不再接收任何報文，從而避免設(shè)備受到大量DHCP報文攻擊而癱瘓。同時，設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能，對于配置了報文限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時間可以自動恢復(fù)為開啟狀態(tài)。DHCP Snooping與DHCP Relay安全機(jī)制比較表2 DHCP Snooping與DHCP Relay安全機(jī)制對照表特性DHCP RelayDHCP Snooping防 DHCP 服務(wù)欺騙攻擊通過“偽服務(wù)器檢測”功能在日志中