防止dhcp攻击

原创 于 2025-02-08 10:43:03 发布 · 628 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络协议

一、如何防止饿死攻击。
开启了DHcP snooping 的交换机,收到DHCP Request消息之后,将会对比这个DHCP报文中的CHADDR和数据链路层中的源MAc地址是否相同,如果不同,则判断为非法报文,直接被交换机丢弃
接口下:dhcp snooping check dhcp-chaddr enable //开启二层源MAC和CHADDR一致性检查功能。
变异:攻击者产生的DHCP报文 把数据链路层的源MAc地址 和DHCP报文中的CHADDR同时修改,那么将会躲掉DHcP snooping一致性检查。
dhcp snooping max-user-number 5 //设置接口可以形成的绑定表数量。
dhcp snooping sticky-mac //根据DHCP nooping表项形成静态MAC地址表,同时关闭接口的MAC地址学习功能,同时接口自动启用如果不能进行源MAC学习,就会把报文丢弃的功能。

二、如何防止仿冒DHCP server攻击:
当在交换机上开启DCHp snooping功能之后,交换机的接口分为两种大类,一种叫做信任接口一种叫做非信任接口。非信任接口:收到DHCPReugest消息,只会转发给信任接口,如果没有信任接口,报文将会被丢弃。收到DHCP Relay消息,将会直接去弃。信任接口:收到DHCPReguest消息,只会转发给除了本接口以外的所有信任接口,如果没有其他信任接口,报文将会被丢弃收到DHCP Relay消息,将会转发给相应的客户端。
默认只要开启了DHCPSnooping功能的接口都是非信任接口。
接口下:dhcp snooping trusted //配置接口为信任接口。

三、如何防止DHCP中间人攻击:
开启DHCPsnooping的交换机,收到ARP报文之后,将会读取ARP报文中的源MAC地址和源IP地址,和snooping绑定表做匹配检查如果匹配检查不一致,那么将会判断此ARP报文不是和合法报文,将丢弃此ARP报文。
系统视图下执行配置命令:arp dhcp-snooping-detect enable //开启ARP报文和snooping 绑定表匹配检查功能。

四、如何防止伪造源IP攻击:
IPSG作用:主要用于防止源IP地址欺骗攻击。
实现原理:通过在交换机上配置绑定表(IPMACVLANID端口),来针对收到的IP报文进行匹配检查。(基于IP封装的数据报文),如果报文不符合绑定表,则报文被丢弃。
两种绑定表项:
1、静态绑定表:需要人为手动配置的绑定表项,叫做静态绑定表。
2、动态绑定表:动态绑定表,基于DHCPsnooping功能产生的snooping表项来进行实现保护,说自了动态绑定表就是DHCP Snooping的表项,而我们是通过这个Snooping绑定表项来实现IPSG的功能。
配置:
[Huawei] user-bind static ip-address 192.168.1.1 mac-address 5489-984c-7b2e interface g0/0/2 vlan
创建静态绑定端口或者vlan下: ip source check user-bind enable //开启DHCPSnooping与IPSG的联动功能,即基于Snooping表项实现IPSG的功能。

DHCP攻击与防御
weixin_46168073的博客
10-04 1271
配置文档:SW2 Switch>en Switch# Switch#conf Switch#configure Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostn SW2 ---à改交换机名为SW2 SW2(config)#v...
DHCP攻击防护
scy1034446395的博客
02-19 968
DHCP攻击类型与其对应的防护措施
如何防御DHCP攻击
weixin_73134956的博客
02-02 1725
2. 使用DHCP Snooping:DHCP Snooping是一种网络安全机制,可以在交换机上设置,用于验证和过滤通过交换机的DHCP消息。它可以验证DHCP消息的源IP地址和MAC地址信息,确保只有合法的DHCP服务器才能提供IP地址分配。DHCP(动态主机配置协议)攻击是一种网络攻击方式,攻击者通过篡改或伪造DHCP请求和响应消息,来获取目标网络中的IP地址、网关和DNS服务器等配置信息,甚至获取到未经授权的网络连接。这样可以确保只有经过授权的设备可以接入网络防止未经授权的设备进行DHCP攻击
常见的DHCP攻击防范
栉风沐雪的博客
06-06 2309
DHCP用来自动分配ip地址,每一个DHCP service(DHCP服务器)都有一个DHCP pool(分配池),每一个终端对DHCP service发送请求时,DHCP service会从池中给终端分配IP,分配的方式会因为OS不同而不同,从前往后,从后往前,或者随机分配。DHCP饿死攻击是利用修改discover报文中的CHADDR地址,不断的向DHCP service发送请求,以此来耗尽DHCP pool中的地址。当其他终端在此想使用DHCP服务时,收到的ip为空。
DHCP攻击及防御
qq_43518594的博客
10-15 1万+
DHCP攻击 原理: DHCP攻击针对的目标是网络中的DHCP服务器,原理是耗尽DHCP服务器所有的IP地址资源,使其无法正常提供地址分配服务。然后在网络中再架设假冒的DHCP服务器为客户端分发IP地址,从而来实现中间人攻击DHCP工作过程: 工作过程分为四个阶段 发现阶段:首先客户端广播发送DHCP Discover报文来寻找DHCP服务器。 提供阶段:DHCP服务器接收到DHCP Discover报文后,查看自己的地址池中是否有可用地址,如果有,会在这个IP上做一个标记,并用DHCP Offer报
DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令
热门推荐
qq_62311779的博客
01-30 1万+
目录 一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给pc1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 图解: 二、如何防御及DHCP snooping配置命令 (一)开启DHCP SNOOPING之后的效果: (二)、配置命令 配置: 观察PC2无法重..
网络游戏-扁平化网络防止DHCP攻击的方法、装置及系统.zip
09-19
防止DHCP攻击的一个关键方法是强化DHCP服务器的安全性。这包括使用强密码保护服务器,限制对服务器的访问,并定期更新服务器软件以修复潜在的安全漏洞。此外,可以通过实施DHCP服务器的认证机制,例如使用数字证书,...
DHCP原理及DHCP服务器的防攻击手段
feipeng45的博客
10-16 1万+
一、DHCP简介 1、产生背景:网络增大,手工配置存在很多问题【人员素质要求高、容易出错、灵活性差、IP地址资源利用率低、工作量大,不利于管理等】 2、DHCP相对于静态手工配置的优点【效率高、灵活性强、易于管理等】 二、DHCP的原理与配置 (一)、DHCP的基本工作过程【发现阶段、提供阶段、请求阶段、确认阶段】如下图: 【发现阶段】:在发现阶段,DHCP客户端会以广播的方式给自己所在在广播域...
配置 DHCP Snooping 防止 DHCP Server 仿冒者攻击示例
kanxingxingdemao的博客
03-30 955
DHCP Snoping 作用 拓扑 SW2配置 SW1配置 dhcp enable [SW1-Vlanif10]dis this # interface Vlanif10 ip address 192.168.10.254 255.255.255.0 dhcp select interface dhcp server dns-list 8.8.8.8 [SW1-GigabitEthernet0/0/1]dis this # interface GigabitE...
交换网络安全防范系列二之DHCP攻击的防范.doc
最新发布
06-26
只有来自信任区域的DHCP信息才能被接受和转发,而不信任区域的DHCP信息则会被丢弃,从而有效防止DHCP攻击DHCP Snooping绑定表记录了用户MAC地址、IP地址、租用期、VLAN-ID、接口等信息,可以跟踪用户IP和端口...
dhcp地址池攻击
12-30
使用bt5的yersinia攻击windows server 2003搭建的dhcp服务器
DHCP攻击的实施与防御
weixin_33795743的博客
11-16 3491
原文发表于2017年第8期《网络安全与信息化》,转发到博客。 更多相关资料可参看视频教程“局域网安全实战”,http://edu.51cto.com/course/10348.html DHCP攻击针对的目标是网络中的DHCP服务器,原理是耗尽DHCP服务器所有的IP地址资源,使其无法正常提供地址分配服务。然后在网络中再架设假冒的DHCP服务器为客户...
任务二:DHCP欺骗劫持与防御策略
2301_76274559的博客
10-12 2691
DHCP欺骗劫持与防御策略
如何防止通过url攻击_华为设备如何防止华为DHCP欺骗攻击网络工程师在线技术打卡...
weixin_39950081的博客
11-29 197
华为DHCP欺骗攻击DHCP Server和DHCP Client之间没有认证机制,如果在网络上随意添加一台DHCP服务器,就可能为客户端分配IP地址。如果该DHCP服务器为用户分配错误的IP地址和相应的参数,将会对网络造成非常大的危害。DHCP 客户端以广播形式发送Discover报文,无论是否是合法的DHCP Server,都可以接收到该报文。如果此时虚假的DHCP Server回应了DHCP...
DHCP的防欺骗
12-23 2072
学习日志8.4--DHCP攻击防范
m0_62560069的博客
08-04 1477
DHCP动态主机配置协议,是给主机提供自动获取IP地址等配置信息的服务。在主机对DHCP服务器发送DHCP Discover请求之后,服务器回复offer,主机再回复request,最后服务器回复ACK确认。但是就是在这四次的交互过程中就容易受到网络攻击。在实际网络中针对DHCP攻击行为主要有:DHCP饿死攻击DHCP Sever仿冒攻击
DHCP欺骗攻击(yersinia应用)
weixin_51086098的博客
10-09 7110
本文针对DHCP协议漏洞进行欺骗攻击,主要使用了kali以及其yersinia工具
浅谈DHCP欺骗攻击
Hala
02-23 9862
DHCP欺骗攻击就是伪造真正的DHCP服务器为客户端主机分配一个错误的IP地址 接下来通过实验环境详细分析是如何伪造真正的DHCP服务器的 实验拓扑如下: 说明: R1为真正的额DHCP服务器,R2为欺骗攻击的假的DHCP服务器,R4为客户端主机,R3后面用到在说 1.首先进入交换机上,更改连接四个路由器的接口为接入模式并开启端口加速 2.DHCP server创建地址池 3.主机开启接...
DHCP安全威胁
NightChenRight的博客
09-26 2044
isis: 集成 clnp 和 ip 工作在数据链路层 第一部: 建立邻居关系 -----(hello报文、RID 等) 同步数据库 ----- (dd/lsr/lsu/lsack) 计算路由表 ----- (spf算法)disktra? ospf:只支持ip 工作在网络层 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值