DHCP網(wǎng)絡安全特性技術白皮書

1、DHCP網(wǎng)絡安全特性技術白皮書關鍵詞：DHCP，DHCP Server，DHCP Relay， DHCP Client，DHCP Snooping。摘 要：本文主要介紹了基于DHCP Snooping的DHCP安全特性，包括其產(chǎn)生背景、應用及其在杭州華三通信技術有限公司（以下簡稱“H3C公司”）低端以太網(wǎng)交換機上的實現(xiàn)。并對比了基于DHCP中繼和DHCP Snooping的安全機制的異同，有利于用戶理解和選擇不同的產(chǎn)品和功能?？s略語清單：縮略語英文全名中文解釋DHCPDynamic Host Configuration Protocol動態(tài)主機配置協(xié)議BOOTPBootstrap Protoc

2、ol自舉協(xié)議ARPAddress Resolution Protocol地址解析協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 技術應用背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術優(yōu)點 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 應用場合 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 DHCP服務欺騙攻擊 HYPERLIN

3、K l _bookmark1 4 HYPERLINK l _bookmark2 ARP“中間人”攻擊 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 IP/MAC欺騙攻擊 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 DHCP報文泛洪攻擊 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 應用限制 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 特性介紹 HYPERLINK l _bookmark4 7

4、HYPERLINK l _bookmark4 相關術語 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 相關協(xié)議 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 設備處理流程 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 DHCP Snooping表項的建立與老化 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 DHCP Snooping信任端口功能 HYPERLINK l _bookmark5 8 H

5、YPERLINK l _bookmark6 ARP入侵檢測功能 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 IP過濾功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark7 DHCP報文限速功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark8 DHCP Snooping與DHCP Relay安全機制比較 HYPERLINK l _bookmark8 12 HYPERLINK l _bookmark8 典型組網(wǎng)案例 HYPERLINK l _book

6、mark8 12 HYPERLINK l _bookmark9 總結和展望 HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark9 參考文獻 HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark9 7 附錄 HYPERLINK l _bookmark9 13概述DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）是在BOOTP協(xié)議基礎上進行了優(yōu)化和擴展而產(chǎn)生的一種網(wǎng)絡配置協(xié)議。InternetDHCP clientSwitch A(DHCP snooping)Sw

7、itch B(DHCP relay)DHCP server圖1 DHCP典型組網(wǎng)示意圖本文主要介紹基于DHCP Snooping技術的DHCP安全特性，主要包括其產(chǎn)生背景、應用及其在H3C低端以太網(wǎng)交換機的實現(xiàn)。并對比了基于DHCP中繼和DHCP Snooping安全機制的異同，有利于用戶理解和選擇不同的產(chǎn)品和功能。關于DHCP“客戶/服務器”通信模式的實現(xiàn)原理，DHCP報文格式，以及H3C低端以太網(wǎng)交換機作為DHCP客戶端、DHCP服務器和DHCP中繼代理的工作過程請參見DHCP基礎實現(xiàn)技術白皮書。技術應用背景DHCP協(xié)議是在UDP和IP協(xié)議的基礎上運行，有很多不安全因素。而且DHCP的運作

8、機制中，通常服務器和客戶端沒有認證機制，如果網(wǎng)絡上存在多臺DHCP服務器將會給網(wǎng)絡照成混亂。例如，惡意用戶冒充DHCP服務器，發(fā)放錯誤的IP地址、DNS服務器信息或默認網(wǎng)關信息，來實現(xiàn)流量的截取等等。針對網(wǎng)絡中DHCP的不安全因素，杭州華三通信技術有限公司（以下簡稱“H3C公司”）開發(fā)了DHCP中繼和DHCP Snooping的安全特性。交換機可以通過運行在網(wǎng)絡層的DHCP中繼的安全功能，或運行在數(shù)據(jù)鏈路層的DHCP Snooping功能來監(jiān)聽DHCP報文，記錄服務器分配給客戶端的IP地址等配置信息，并通過與交換機上其它功能模塊的配合，提高整體網(wǎng)絡的安全性。技術優(yōu)點DHCP Snooping是

9、運行在二層接入設備上的一種DHCP安全特性。設備通過監(jiān)聽DHCP報文，過濾不可信任的DHCP信息；建立和維護DHCP Snooping表項，記錄用戶從DHCP服務器獲取的IP地址和用戶主機的MAC地址的對應關系，一般可以與其它功能模塊配合使用，提高網(wǎng)絡的安全性。DHCP中繼運行在網(wǎng)絡層，其安全功能與DHCP Snooping類似，同樣是記錄用戶的MAC地址與IP地址的信息，一般與ARP功能模塊配合使用，提高網(wǎng)絡的安全性。應用場合DHCP中繼和DHCP Snooping的安全特性主要應用于接入層交換機上，實現(xiàn)常見二層網(wǎng)絡攻擊的防范。表1 常見網(wǎng)絡攻擊和防范對照表攻擊類型防范方法DHCP 服務欺騙

10、攻擊DHCP Snooping 功能、DHCP Snooping 信任端口功能ARP“中間人攻擊DHCP Snooping 功能、ARP 入侵檢測功能IP/MAC 欺騙攻擊DHCP Snooping 功能、IP 過濾功能DHCP 報文泛洪攻擊DHCP 報文限速功能DHCP服務欺騙攻擊在DHCP工作過程中，通常服務器和客戶端沒有認證機制，如果網(wǎng)絡上存在多臺DHCP服務器，不僅會給網(wǎng)絡造成混亂，也對網(wǎng)絡安全造成很大威脅。這種網(wǎng)絡中出現(xiàn)非法的DHCP服務器，通常分為兩種情況：用戶不小心配置的 DHCP 服務器，由此引起的網(wǎng)絡混亂非常常見。黑客將正常的 DHCP 服務器中的 IP 地址耗盡，然后冒充合

11、法的 DHCP 服務器，為客戶端分配 IP 地址等配置參數(shù)。例如黑客利用冒充的 DHCP 服務器，為用戶分配一個經(jīng)過修改的 DNS 服務器地址，在用戶毫無察覺的情況下被引導至預先配置好的假的金融網(wǎng)站或電子商務網(wǎng)站，騙取用戶的帳戶和密碼，這種攻擊的危害是很大。DHCP ClientDHCP SnoopingDHCP ServerDHCPDHCP Server圖2 DHCP服務欺騙攻擊示意圖為了防止DHCP服務欺騙攻擊，H3C低端以太網(wǎng)交換機提供了“DHCP Snooping 信任端口”特性，對DHCP服務器信息來源進行控制。只允許處理信任端口接收的DHCP響應報文，而非信任端口接收到的DHCP響

12、應報文被交換機丟棄，防止DHCP客戶端從網(wǎng)絡中不可信任的DHCP服務器獲取IP地址。ARP“中間人”攻擊按照ARP協(xié)議的設計，一個主機即使收到的ARP應答并非自身請求得到的，也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。 HYPERLINK l _bookmark3 如圖3 所示，Host A和Host C通過Switch進行通信。此時，如果有黑客（Host B） 想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機發(fā)送偽造的ARP應答報文，使Host A和Host C用MAC_B更新自身

13、ARP映射表中與對方IP地址相應的表項。此后，Host A 和Host C之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即Host B擔當了“中間人”的角色，可以對信息進行了竊取和篡改。這種攻擊方式就稱作“中間人（Man-In-The-Middle）攻擊”。圖3 “中間人”攻擊示意圖為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機提供了“ARP入侵檢測”特性， 根據(jù)動態(tài)獲取的DHCP Snooping表項或靜態(tài)配置的IP與MAC綁定表項，對非法ARP報文進行過濾，保證接入交換機只傳遞合法的ARP請求和應答信息。IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/M

14、AC欺騙，黑客可以偽造報文的源地址進行攻擊，其目的一般為偽造身份或者獲取針對IP/MAC的特權，另外此方法也被應用于DoS（ Deny of Service，拒絕服務）攻擊，嚴重的危害了網(wǎng)絡安全。為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機提供了IP過濾特性，開啟該功能后，交換機可以強制經(jīng)過某一端口流量的源地址符合動態(tài)獲取的DHCP Snooping表項或靜態(tài)配置的IP與MAC綁定表項的記錄，防止攻擊者通過偽造源地址來實施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡地址沖突等現(xiàn)象。DHCP報文泛洪攻擊DHCP報文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP請求報文發(fā)送

15、到服務器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面,如果交換機上開啟了DHCP Snooping功能，會將接收到的DHCP報文上送到CPU。因此大量的DHCP報文攻擊設備會使DHCP服務器高負荷運行，甚至會導致設備癱瘓。為了防止上述DHCP報文泛洪攻擊，H3C低端以太網(wǎng)交換機提供了“DHCP報文限速”特性，使受到攻擊的端口暫時關閉，來避免此類攻擊對網(wǎng)絡和服務器的沖擊。應用限制DHCP 中繼和 DHCP Snooping 的安全特性運行于不同的網(wǎng)絡環(huán)境中，因此兩者只需選擇其一應用。在同一交換機上，DHCP Snooping 的啟動需以關閉DHCP 中繼為前提。為了使 DH

16、CP 客戶端通過 DHCP Snooping 設備從合法的 DHCP 服務器獲取IP 地址，必須將 DHCP Snooping 設備上與合法 DHCP 服務器相連的端口設置為信任端口，設置的信任端口和與 DHCP 客戶端相連的端口必須在同一個VLAN 內。建議用戶不要在交換機上同時配置 DHCP Snooping 功能和靈活 QinQ 功能， 否則可能導致 DHCP Snooping 功能無法正常使用。配置 IP 過濾功能之前，需要先開啟交換機的 DHCP Snooping 功能，并配置信任端口。建議用戶不要在匯聚組中的端口上配置 IP 過濾功能。如果交換機支持 IRF 功能，建議用戶不要在

17、Fabric 端口上配置 IP 過濾功能。特性介紹相關術語DHCP Server：DHCP 服務器，為用戶提供可用的 IP 地址等配置信息。DHCP Client：DHCP 客戶端，通過 DHCP 動態(tài)申請 IP 地址的用戶。DHCP Relay：DHCP 中繼，用戶跨網(wǎng)段申請 IP 地址時，實現(xiàn) DHCP 報文的中繼轉發(fā)功能。DHCP Snooping：DHCP 監(jiān)聽，記錄通過二層設備申請到 IP 地址的用戶信息。DCHP Security：DHCP 安全特性，實現(xiàn)合法用戶 IP 地址表的管理功能。相關協(xié)議RFC 951：Bootstrap Protocol (BOOTP)RFC 1497：

18、BOOTP Vendor Information ExtensionsRFC 1542：Clarifications and Extensions for the Bootstrap ProtocolRFC 2131：Dynamic Host Configuration ProtocolRFC 2132：DHCP Options and BOOTP Vendor ExtensionsRFC 3046：DHCP Relay Agent Information Option設備處理流程DHCP Snooping表項的建立與老化開啟DHCP Snooping功能后，H3C低端以太網(wǎng)交換機根據(jù)設備的不

19、同特點可以分別采取監(jiān)聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。目前，H3C低端以太網(wǎng)交換機的DHCP Snooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口 HYPERLINK l _bookmark5 信息、租約信息，如圖4 所示。圖4 DHCP Snooping表項示意圖為了對已經(jīng)無用的DHCP Snooping動態(tài)表項進行定期進行老化刪除，以節(jié)省系統(tǒng)的資源，和減少安全隱患，H3C低端以太網(wǎng)交換機支持根據(jù)客戶端IP地址的租約對DHCP Snooping表項進行老化。具體實現(xiàn)過程為：當DH

20、CP Snooping至少記錄了一條正式表項時，交換機會啟動20秒的租約定時器，即每隔20秒輪詢一次DHCP Snooping表項，通過表項記錄的租約時間、系統(tǒng)當前時間與表項添加時間的差值來判斷該表項是否已經(jīng)過期。若記錄的表項租約時間小于系統(tǒng)當前時間與表項添加時間的差值，則說明該表項已經(jīng)過期，將刪除該條表項，從而實現(xiàn)DHCP Snooping動態(tài)表項的老化。需要注意的是：DHCP Snooping表項的老化功能有一定的局限性，當DHCP服務器端的租約設置為無限期或者很長時，會出現(xiàn)老化不及時的現(xiàn)象。DHCP Snooping信任端口功能DHCP Snooping的信任端口功能所提供的是對于DHC

21、P服務器信息來源的控制，此功能通過將不信任端口接收的DHCP響應報文丟棄，防止DHCP客戶端從網(wǎng)絡中不可信任的DHCP服務器獲取IP地址。信任端口是與合法的 DHCP 服務器直接或間接連接的端口。信任端口對接收到的 DHCP 報文正常轉發(fā)，從而保證了 DHCP 客戶端獲取正確的 IP 地址。不信任端口是不與合法的 DHCP 服務器連接的端口。如果從不信任端口接收到 DHCP 服務器響應的 DHCP-ACK 和 DHCP-OFFER 報文則會丟棄，從而防止了 DHCP 客戶端獲得錯誤的 IP 地址。DHCP ClientDHCP SnoopingDHCP ServerUntrust PortTr

22、ust PortUntrust PortDHCPDHCP Server圖5 DHCP Snooping信任端口功能示意圖開啟DHCP Snooping功能后，交換機上的所有端口默認被配置為非信任端口，此時從非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER報文都不會被交換機轉發(fā)、也不會上送CPU處理；當某端口被配置為信任端口時，從該端口傳入的DHCP-ACK、DHCP-NAK及DHCP-OFFER報文將被鏡像至CPU處理。需要注意的是：目前H3C低端以太網(wǎng)交換機實現(xiàn)的DHCP Snooping功能是需要和DHCP Snooping信任端口功能配合使用的。啟動DHCP Sn

23、ooping功能后，為了使DHCP客戶端能從合法的DHCP服務器獲取IP地址，必須將與合法DHCP服務器相連的端口設置為信任端口，設置的信任端口和與DHCP客戶端相連的端口必須在同一個VLAN內。ARP入侵檢測功能ARP入侵檢測功能工作機制為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機支持將收到的ARP（請求與回應）報文重定向到CPU，結合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理，具體如下。當 ARP 報文中的源 IP 地址及源 MAC 地址的綁定關系與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項匹配，且 ARP 報文的入端口及其所屬VLA

24、N 與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項一致，則為合法 ARP 報文，進行轉發(fā)處理。當 ARP 報文中的源 IP 地址及源 MAC 地址的綁定關系與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項不匹配，或 ARP 報文的入端口，入端口所屬 VLAN 與 DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項不一致，則為非法 ARP 報文，直接丟棄，并通過 Debug 打印出丟棄信息提示用戶。圖6 ARP入侵檢測功能示意圖手工配置IP靜態(tài)綁定表項DHCP Snooping表只記錄了通過DHCP方式動態(tài)獲取IP地址的客戶端信息，如

25、果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCP Snooping 表記錄，因此不能通過基于DHCP Snooping表項的ARP入侵檢測，導致用戶無法正常訪問外部網(wǎng)絡。為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡，交換機支持手工配置IP靜態(tài)綁定表的表項，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關系。以便正常處理該用戶的報文。ARP信任端口設置由于實際組網(wǎng)中，交換機的上行口會接收其他設備的請求和應答的ARP報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應答報

26、文能夠通過ARP入侵檢測問題，交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進行檢測。IP過濾功能IP過濾功能是指交換機可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進行過濾的功能。在端口上開啟該功能后，交換機首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有IP報文。（同時，需要考慮DHCP Snooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應答報文，否則，允許DHCP應答報文通過。）接著，下發(fā)ACL

27、規(guī)則，允許源IP地址為DHCP Snooping表項或已經(jīng)配置的IP靜態(tài)綁定表項中的IP 地址的報文通過。交換機對IP報文有兩種過濾方式：根據(jù)報文中的源 IP 地址進行過濾。如果報文的源 IP 地址、接收報文的交換機端口號與 DHCP Snooping 動態(tài)表項或手工配置的 IP 靜態(tài)綁定表項一致， 則認為該報文是合法的報文，允許其通過；否則認為是非法報文，直接丟棄。根據(jù)報文中的源 IP 地址和源 MAC 地址進行過濾。如果報文的源 IP 地址、源MAC 地址、接收報文的交換機端口號，與 DHCP Snooping 動態(tài)表項或手工配置的 IP 靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其

28、通過；否則認為是非法報文，直接丟棄。DHCP報文限速功能為了防止DHCP報文泛洪攻擊，H3C低端以太網(wǎng)交換機支持配置端口上對DHCP報文的限速功能。開啟該功能后，交換機對每秒內該端口接收的DHCP報文數(shù)量進行統(tǒng)計，如果每秒收到的DHCP報文數(shù)量超過設定值，則認為該端口處于超速狀態(tài)（即受到DHCP報文攻擊）。此時，交換機將關閉該端口，使其不再接收任何報文，從而避免設備受到大量DHCP報文攻擊而癱瘓。同時，設備支持配置端口狀態(tài)自動恢復功能，對于配置了報文限速功能的端口，在其因超速而被交換機關閉后，經(jīng)過一段時間可以自動恢復為開啟狀態(tài)。DHCP Snooping與DHCP Relay安全機制比較表2 DHCP Snooping與DHCP Relay安全機制對照表特性DHCP RelayDHCP Snooping防 DHCP 服務欺騙攻擊通過“偽服務器檢測”功能在日志中