以太网安全管理实验——DHCP欺骗与防御

于 2025-03-18 17:21:12 发布
阅读量685 收藏 10
点赞数 5
文章标签: 服务器 运维 ENSP HUANWEI 华为 DHCP DHCP欺骗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/w2361734601/article/details/146344423
版权

着网络技术的快速发展,以太网环境中的安全威胁日益增多,其中动态主机配置协议(DHCP)欺骗和地址解析协议典型的网络层攻击手段。攻击者通过伪造网络服务(如DHCP服务器、DNS服务器),可导致合法用户被重定向至恶意服务器,造成数据泄露、钓鱼攻击等严重后果。

​DHCP欺骗攻击原理:攻击者伪造DHCP服务器,向客户端分配恶意网关和DNS地址,劫持用户流量。

​防御机制配置:通过交换机的DHCP Snooping功能限制合法DHCP服务范围,保障网络通信安全。

1、DHCP开启

按照拓扑图连线并配置,使得PC1及PC2能够通过DHCP自动获取网络信息,并能够使用域名www.a.com访问Web服务器。

实验步骤(在配置DHCP前,先使用静态路由连通网络,删除后再试一下使用动态路由连通网络):

静态路由:

R1:

R2:

静态路由配置成功

动态路由配置:

DHCP:

在命令行输入ipconfig可知已自动分配

将伪造的DHCP服务器接入交换机SW1,将其本地域名服务器地址设置为伪造的域名服务器的IP地址192.1.2.2。实施DHCP欺骗,使得PC1及PC2从伪造的DHCP服务器获取网络信息,从而通过伪造的DNS服务器完成域名www.a.com的解析过程,得到伪造的Web服务器的IP地址,从而导致访问到伪造的Web服务器。

  1. 完成交换机防御DHCP欺骗攻击功能的配置过程,使得PC1和PC2只能从DHCP服务器获取网络信息。为了防止各个PC从伪造的DHCP服务器获取网络信息,启动交换机SW1的DHCP侦听功能,只将SW1连接路由器R1的端口设置为信任端口。

2.DHCP欺骗

forged DHCP Server:

PC1刷新显示欺骗成功

3.DHCP防御

SW1:

先在交换机开启全局DHCP功能再在对应端口配置信任模式

防御成功

通过DHCP Snooping的信任端口机制,​PC只能从合法DHCP服务器获取网络配置,彻底阻断了攻击者通过伪造DHCP服务器发起的钓鱼攻击和DNS劫持.

网络安全 (重庆邮电大学cqupt)期末复习题 超难总结的答案!
Eudoraa的博客
06-30 6716
第二章 网络攻击 2.7 列出三种截获攻击,并简述实现机制。 答:(1)MAC地址(硬件地址)欺骗攻击。如果黑客终端想要截获其他终端发送给终端C的MAC帧,则黑客会发送一个以终端C的MAC地址、以广播地址为目的MAC地址的MAC帧,将通往黑客终端的交换路径伪造成通往终端C的交换路径,使所有以终端C的MAC地址为目的MAC地址的MAC帧都被以太网错误地转发给黑客终端。 (2)D...
DHCP DNS 欺骗武器化——实用指南
技术超强的网络安全平台
08-23 1071
不幸的是,我们不能选择任何任意的 IP 地址——DHCP 服务器具有定义的内部 IP 地址范围,并且它将拒绝租用(并随后为其创建 DNS 记录)此范围之外的任何 IP 地址。看到此广播消息后,我们的目标 DHCP 服务器将“假定”我们正在从另一台服务器请求新的 IP 地址,因此我们不再需要现有的(租用的)IP 地址。我们怀疑这可能是一个逻辑错误。我们不能通过释放先前的租约来解决这个问题,因为这会触发 DHCP 服务器的 DNS 动态更新来删除刚刚发布的记录 — — 并会删除我们之前欺骗的记录(图 8)。
DNS欺骗劫持防御策略
10-18
DNS欺骗劫持防御策略
网络协议攻击模拟_10DHCP攻击DHCP欺骗
fencecat的博客
01-29 2095
DHCP欺骗原理:使用一台kali作为攻击主机,向我们的DHCP服务器发起DHCP Discover请求,让服务器给我们的攻击主机分配IP地址。当它的IP地址分配完了就无法向正常的客户机提供IP,此时攻击主机把自己伪造成DHCP服务器,就可以向客户机提供IP,这就是DHCP欺骗
华为ENSP之DNS欺骗防御实验指导书
Y001X的博客
04-11 378
DNS是网络运行中的一个重要的服务器,绝大数的网络访问需要通过DNS服务器解析,如果DNS解析出错,网络运行将不是一个稳定的网络,今天通过局域网DNS劫持欺骗的方法来学习DNS解析攻击的危害及防御
局域网安全-DHCP欺骗实验
2302_78039953的博客
01-21 1318
先对路由器进行配置,在对服务器进行配置,修改服务器主页后,再构造伪造服务器
DHCP欺骗DHCP Sproofing)
11-14 1094
DHCP欺骗DHCP Sproofing) DHCP Sproofing同样是一种中间人攻击方式。DHCP是提供IP地址分配的服务。当局域网中的计算机设置为自动获取IP,就会在启动后发送广播包请...
DHCP欺骗实验操作及防护措施
宝耶需努力的技术分享博客
07-30 5893
DHCP欺骗实验操及防护措施 实验操作DHCP欺骗实验操及防护措施1、实验拓扑搭建2、配置参数(1)PC1(2)PC2(3)SW1配置参数(4)AR1配置参数(合法路由器)(5)AR2配置参数(黑客路由器)3、防护措施设置4、PC1 获取DHCP地址5、PC2 获取DHCP地址6、中断合法AR1端口后,验证PC能否正常获取DHCP 1、实验拓扑搭建 2、配置参数 (1)PC1 (2)PC2 (3)SW1配置参数 [SW1]vlan batch 10 20 [SW1]interface Ethernet
任务二:DHCP欺骗劫持防御策略
2301_76274559的博客
10-12 2613
DHCP欺骗劫持防御策略
浅谈DHCP欺骗攻击
Hala
02-23 9783
DHCP欺骗攻击就是伪造真正的DHCP服务器为客户端主机分配一个错误的IP地址 接下来通过实验环境详细分析是如何伪造真正的DHCP服务器实验拓扑如下: 说明: R1为真正的额DHCP服务器,R2为欺骗攻击的假的DHCP服务器,R4为客户端主机,R3后面用到在说 1.首先进入交换机上,更改连接四个路由器的接口为接入模式并开启端口加速 2.DHCP server创建地址池 3.主机开启接...
【网络安全】【DHCP_攻击防御
06-09
DHCP攻击防御,使用交换机的DHCP监听功能增强网络安全性!
网络攻防实验报告-DHCP安全.doc
05-07
eNSP中配置DHCP安全,配置可信端口
Dhcp两大威胁以及arp欺骗等试验总结
06-18
Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息,本网段的dhcp server回送dhcp offer消息,客户段再发送dhcp request消息,声明自己即将使用的ip地址,server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能,凡是不信任的端口(信任端口就是dhcp server使用的端口,需独立配置),都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。 在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping,这样所有端口都是非信任端口,都将丢弃dhcp offer报文,如果是使用三层交换机提供dhcp服务,就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住:接入层交换机需支持dhcp snooping功能;信任端口是在物理端口下配置(包括trunk级联端口) 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址,耗费dhcp server地址池,从个人达到拒绝服务攻击的目的。一般用两种方法,但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池,只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加,这种方法工作量大且不能满足移动性的要求。另一种方法就是实际认证系统相结合,认证系统首先对MAC地址进行第一次认证,只有MAC地址是合法的,才允许DHCP Sever分配IP地址给终端,这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要,不希望用户自己设定ip地址来上网,也就是说限制用户只能动态获取地址才能上网,自己固定地址不能上网。这种就相对比较简单,不需要在接入层上做什么设置,也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法 这里必须还是先在三层交换机上启用ip dhcp snooping功能 同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip,而是自己设置ip,那么它就不会被dhcp snooping捕获到,当然所有的该ip地址发送的arp请求都会被网关拒绝掉的(因为源,目的mac和ip地址都是不合法的,自然被认为是非法的arp请求)。但是固定ip时是可以跟本局域网内其它机器通信的,只是不能通过arp协议学习到网关的mac地址。 注:以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况:一是伪造网关去欺骗网内其它主机;而是伪造其它主机去 欺骗网关。当然更严重的是两种情况同时存在,并开始数据转发功能,这就是一种中间 人攻击(双方欺骗),可以嗅探数据包(代理arp功能跟此类似,很多计费网关和一些透明防火墙就利用了代理arp功能)。从某种意义上说,arp欺骗就是一种代理arp。 神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关,这个acl就是限制该端口下不允许发送网关地址的arp通告报文,这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下: 13,14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然,如果知道某个具体端口是什么IP地址,那么就可以限制该端口只能发送该IP的arp通告是最好了,这就可以完全杜绝arp欺骗。但明显可操作性差。 另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac,同时在网关上静态绑定IP+mac。不过这种办法不如前面办法好,它不能防止局域网内部的arp欺骗。 如果采取的是动态获取ip地址,神码交换机有个新特性,能完全控制arp欺骗。可以防止接入主机假冒网关,可以防止接入主机假冒其它用户;管理复杂度低,交换机配置简单并且基本不需要变更;支持用户移动接入,交换机可以自动检测到用户接入位置并正确转发用户数据; ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip,需要ip+mac+端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多,先配置ip dhcp snooping 再配置ip arp inspection,此时,客户端就应该没办法伪造其它主机去伪造网关,因为这些伪造的arp reply报文在网关看来都是非法的,自然会拒绝。至于伪造网关的防治,大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文 数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机的mac地址表如果被大量充斥,将会影响性能,严重的将会是交换机崩溃,因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治,那就只能选择port-security了,虽然不能满足移动性的要求。 针对目前学校主干是cisco交换机,接入层品牌太杂,档次参差不齐,用户自动从cisco三层交换机上获取地址上网的情况,我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server,还得升级接入层交换机。
安全端口MAC地址欺骗攻击防御实验
最新发布
03-25
### 安全端口配置MAC地址欺骗攻击防御 为了有效防范MAC地址欺骗攻击,可以通过合理配置交换机的安全端口功能实现防护。以下是关于安全端口配置以及其在MAC地址欺骗攻击中的应用: #### 配置概述 安全端口是一种...
计算机网络——ARP协议
m0_60631836的博客
04-14 8232
本博客是博主用于复习计算机网络的博客,如果疏忽出现错误,还望各位指正。 这篇博客是在B站掌芝士zzs这个UP主的视频的总结,讲的非常好。 可以先去看一篇视频,再来参考这篇笔记(或者说直接偷走)。
全方位网络安全策略:H3C动态ARP检测其他安全特性的完美结合
![全方位网络安全策略:H3C动态ARP检测其他安全特性的完美...本文首先介绍了网络安全的基础知识和ARP攻击的基本概念、类型危害。随后,深入解析了H3C公司的动态ARP检测技术,阐述了其工作原理及在H3C设备中的实施。
简单的二层交换安全
weixin_44779777的博客
07-21 6805
开启二层交换对QOS的识别 把没有优先级标记的流量在进入这个接口标记为cos 人工调整映射 查看默认映射 第一个和第二个阀值是可控的 交换安全 未知单播帧 ,组播/广播帧洪泛 端口安全 ——维护一个合法的端口mac对应关系 静态安全mac地址 sw1(config)#int f0/1 sw1(config-if)#shutdown sw1(config-if)#switchport mode a...
DHCP欺骗原理欺骗攻击
weixin_44991806的博客
05-13 3299
DHCP的工作原理 DHCP(动态主机配置协议)是一个局域网的网络协议。使用UDP协议工作,常用端口67(DHCP server服务端)68(DHCP client客户端),由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,需要管理员手动安装并进行必要的配置。 2 .写出DHCP欺骗的原理 1、清空DHCP服务器地址池 2、攻击机搭建一个DHCP服务器 3、目标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值