一、采用DHCP 服务的常见问题 架设DHCP 服务器可以为客户端自动分配IP 地址、掩码、默认网关、DNS 服务器等网络参数,简化了网络配置,提高了管理效率
但在DHCP 服务的管理上存在一些问题,常见的有: ●DHCP Server 的冒充 ●DHCP Server 的DOS 攻击,如 DHCP 耗竭攻击 ●某些用户随便指定 IP 地址,造成 IP 地址冲突 1、DHCP Server 的冒充 由于 DHCP 服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台 DHCP 服务器,它就可以为客户端分配IP 地址以及其他网络参数
只要让该DHCP 服务器分配错误的IP 地址和其他网络参数,那就会对网络造成非常大的危害
2、DHCP Server 的拒绝服务攻击 通常DHCP 服务器通过检查客户端发送的DHCP 请求报文中的CHADDR(也就是 Client MAC address)字段来判断客户端的MAC 地址
正常情况下该 CHADDR字段和发送请求报文的客户端真实的MAC 地址是相同的
攻击者可以利用伪造MAC 的方式发送 DHCP 请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止
端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址
但是如果攻击者不修改DHCP 请求报文的源MAC 地址,而 是修改DHCP 报文中的CHADDR 字段来实施 攻击,那端口安全就不起 作 用了
由于 DHCP 服务器认为不同的CHADDR 值 表 示 请求来自不同的客户端,所以攻击者可以通过大量 发送伪造 CHADDR 的DHCP 请求,导 致 DHCP 服务器上的地址池 被 耗尽 ,从 而 无 法 为其他正常用户提供 网络地址,这是一种DHCP 耗竭攻击
DHCP 耗竭攻击可以是纯 粹 的DOS 攻击,也可以与 伪造的DHCP 服务
