《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)(第二版)》 課件 第5章 任務(wù)5.3 Dhcp攻擊與Dhcp snooping防護(hù)_第1頁
《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)(第二版)》 課件 第5章 任務(wù)5.3 Dhcp攻擊與Dhcp snooping防護(hù)_第2頁
《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)(第二版)》 課件 第5章 任務(wù)5.3 Dhcp攻擊與Dhcp snooping防護(hù)_第3頁
《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)(第二版)》 課件 第5章 任務(wù)5.3 Dhcp攻擊與Dhcp snooping防護(hù)_第4頁
《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)(第二版)》 課件 第5章 任務(wù)5.3 Dhcp攻擊與Dhcp snooping防護(hù)_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第5章局域網(wǎng)安全技術(shù)編著:

秦?zé)鰟诖浣?/p>

任務(wù)5.3Dhcp攻擊與Dhcp

snooping防護(hù)任務(wù)5.3Dhcp攻擊與Dhcp

snooping防護(hù)

DHCP服務(wù)器的主要任務(wù)是接受客戶機(jī)的請求,為客戶機(jī)分配IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器地址等信息。不考慮DHCP中繼代理的情況,DHCP服務(wù)的具體過程是:客戶機(jī)通過廣播的方式發(fā)送DHCPDiscover請求,在局域網(wǎng)中查找DHCP服務(wù)器,向服務(wù)器申請IP地址等信息,如果局域網(wǎng)中存在多臺(tái)DHCP服務(wù)器,則每臺(tái)服務(wù)器都會(huì)從自己的地址池中取出一個(gè)IP地址,向客戶機(jī)回應(yīng)。

局域網(wǎng)中DHCP攻擊的做法是:攻擊者先不斷向DHCP服務(wù)器申請IP地址,等DHCP服務(wù)器所有可分配的IP地址被耗盡后,再啟用惡意DHCP服務(wù)器,給客戶機(jī)分配惡意網(wǎng)關(guān)或惡意DNS服務(wù)器地址等惡意地址。若客戶機(jī)獲取到的網(wǎng)關(guān)是由攻擊者控制的惡意網(wǎng)關(guān),攻擊者就可以以中間人的身份進(jìn)行抓包截獲受害者通過網(wǎng)絡(luò)傳輸?shù)男畔?;若客戶機(jī)獲取到的是DNS指向攻擊者控制的惡意DNS服務(wù)器,則攻擊者可通過惡意DNS服務(wù)器引導(dǎo)客戶訪問釣魚網(wǎng)站,竊取客戶的帳號密碼等信息。5.3.1DHCP攻擊一、發(fā)動(dòng)攻擊,耗盡服務(wù)器的可分配地址攻擊者通過kalilinux發(fā)動(dòng)攻擊,不斷發(fā)送申請地址的請求,耗盡服務(wù)器能分配的所有IP地址,導(dǎo)致正??蛻魴C(jī)無法獲取地址。1.客戶機(jī)釋放IP地址C:\DocumentsandSettings\Administrator>ipconfig/releaseWindowsIPConfigurationEthernetadapter本地連接:Connection-specificDNSSuffix.:IPAddress............:SubnetMask...........:DefaultGateway.........:C:\DocumentsandSettings\Administrator>2.如圖5-3-1所示,在DHCP服務(wù)器上,查看作用域的統(tǒng)計(jì)信息。3.kalilinux發(fā)動(dòng)攻擊,耗盡服務(wù)器能分配的所有地址。root@kali:~#pig.pyeth04.如圖5-3-2所示,在DHCP服務(wù)器上,再次查看作用域的統(tǒng)計(jì)信息。圖5-3-1作用域的統(tǒng)計(jì)信息圖5-3-2再次查看作用域的統(tǒng)計(jì)信息二、啟用惡意DHCP服務(wù)器,該服務(wù)器將分配給客戶的網(wǎng)關(guān)指向kalilinux。1.如圖5-3-3所示,分配的地址范圍是0-0。圖5-3-3惡意DHCP服務(wù)器的地址池2.如圖5-3-4所示,分配的網(wǎng)關(guān)指向攻擊的的KaliLinux,地址是1。圖5-3-4DNS作用域選項(xiàng)三、kalilinux暫時(shí)打開路由功能root@kali:~#echo1>/proc/sys/net/ipv4/ip_forward四、將默認(rèn)路由指向541.查看路由表。root@kali:~#route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface54UG000eth0U000eth02.若默認(rèn)路由不是54,則將默認(rèn)路由指向54。root@kali:~#vim/etc/network/interfacesgateway54root@kali:~#/etc/init.d/networkingrestart五、在客戶機(jī)上,重新獲取IP地址。C:\DocumentsandSettings\Administrator>ipconfig/renewWindowsIPConfigurationEthernetadapter本地連接:Connection-specificDNSSuffix.:IPAddress............:0SubnetMask...........:DefaultGateway.........:1六、在kalilinux上抓包,當(dāng)客戶機(jī)從惡意DHCP服務(wù)器獲取地址后,ping時(shí),由于數(shù)據(jù)經(jīng)假冒網(wǎng)關(guān)轉(zhuǎn)發(fā),所以在KaliLinux上可以抓包看到。1.在KaliLinux上運(yùn)行Wireshark,開始抓包。若運(yùn)行Wireshark時(shí),出現(xiàn)錯(cuò)誤提示:Lua:Errorduringloading:[string"/usr/share/wireshark/init.lua"]:44:dofilehasbeendisabledduetorunningWiresharkassuperuser.1)可修改/usr/share/wireshark/init.lua文件:root@kali:~#vim/usr/share/wireshark/init.lua將倒數(shù)第二行:dofile(DATA_DIR.."console.lua")改為:--dofile(DATA_DIR.."console.lua")2)重新運(yùn)行Wireshark。2.在客戶機(jī)win3上,ping,由于數(shù)據(jù)經(jīng)攻擊者控制的假冒網(wǎng)關(guān)(KaliLinux)轉(zhuǎn)發(fā),所以如圖5-3-5所示,在KaliLinux上可以抓包看到。圖5-3-5KaliLinux抓包結(jié)果5.3.2DHCPSnooping技術(shù)通過DHCPSnooping技術(shù),可實(shí)現(xiàn)對DHCP攻擊的防御。一、因?yàn)樯婕癉HCP的租用時(shí)間,所以要先設(shè)置好時(shí)間:Switch>enSwitch#conftSwitch(config)#clocktimezoneGMT+8Switch(config)#exitSwitch#clockset9:40:0023aug2018Switch#showclock09:40:34.205GMTThuAug232018二、DHCPSnooping技術(shù)將交換機(jī)端口分為兩類:信任端口和非信任端口。端口被指派為信任端口后,可發(fā)送所有的DHCP包,對外分配IP地址。正規(guī)的DHCP服務(wù)器所連接的端口,應(yīng)指派為信任端口。非信任端口,只能發(fā)送DHCP的請求包,如DHCPDiscover和DHCPRequest包;不能發(fā)送用于分配IP地址的DHCP包,如DHCPOFFER和DHCPACK包。因此,非信任端口就算連接了DHCP服務(wù)器,也無法對外提供分配IP地址的DHCP服務(wù)。除了連接正規(guī)DHCP服務(wù)器的端口應(yīng)指派為信任端口外,其它端口應(yīng)作為非信任端口。三、DCHPSnooping的配置方法如下:1.通過命令全局激活DHCPsnooping特性。全局激活DHCPsnooping特性后,DHCPsnooping并不立即生效,直到在特定VLAN中激活才會(huì)真正生效。激活DHCPSnooping的方法如下:Switch(config)#ipdhcpsnooping2.DHCPSnooping的相關(guān)信息可臨時(shí)存儲(chǔ)在內(nèi)存中,也可存儲(chǔ)到數(shù)據(jù)庫中。DHCPSnooping的相關(guān)信息主要有DHCP的租用時(shí)間、客戶端的MAC地址、IP地址、所屬vlan、所連的交換機(jī)端口等。這些信息除了用在DHCPSnooping上,還可用于對ARP攻擊的防控??捎妹钪付―HCPSnooping數(shù)據(jù)庫存放的位置,用于存儲(chǔ)DHCPSnooping的相關(guān)信息,如果不指定存放位置,則這些信息會(huì)臨時(shí)存儲(chǔ)在內(nèi)存中。指定DHCPSnooping數(shù)據(jù)庫存放位置的命令是:Switch(config)#ipdhcpsnoopingdatabaseflash:/snooping.db3.將連接合法DHCP服務(wù)器的端口設(shè)置為Trust:Switch(config)#intg0/0Switch(config-if)#ipdhcpsnoopingtrustSwitch(config-if)#exit4.對非信任端口進(jìn)行DHCP限速,每秒DHCP包的數(shù)量不能超過限制,用于防止DoS攻擊:Switch(config)#intrangeg0/1-3,g1/0Switch(config-if-range)#ipdhcpsnoopinglimitrate5Switch(config-if-range)#exit5.在VLAN中激活DHCPsnooping:Switch(config)#ipdhcpsnoopingvlan1Switch(config)#end6.查看命令是:Switch#showipdhcpsnoopingbindingSwitch#showipd

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論