DHCP spooping非法获取地址设置原理
一、DHCP概述
DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就
可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动
安装,还需要管理员手动安装并进行必要的配置。
二、DHCP报文
- DHCP Discover报文 ---------------客户端发送的请求报文-广播方式
- DHCP Offer 报文----------------------服务器对客户端的回应报文-以单播方式或者广播方式。DHCP offer报文
包括(IP 地址,掩码 ,网关,DNS等。) - DHCP Request报文--------------------客户端发给服务器的请求报文,单播方式或者广播,完成功能DHCP服务器
的选择以及租期更新。 - DHCP Release报文---------------------客户端发给服务器的,想要释放IP或者取消租期,单播方式。
DHCP AcK/NaK------------------------确认报文,AcK正确,NcK错误
三、DHCP Snooping功能简介:
DHCP Snooping:意为DHCP 窥探,在一次PC动态获取IP地址的过程中,通过对Client和服务器之间的DHCP交互报文进行
窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP 报文过滤的功能,通过合理的配置实现对非法服务器的过滤,
防止用户端获取到非法DHCP服务器提供的地址而无法上网。
下边对DHCP Snooping 内使用到的一些术语及功能进行解释:****
- DHCP 请求报文:DHCP 客户端发往DHCP 服务器的报文。
- DHCP 应答报文:DHCP 服务器发往DHCP 客户端的报文。
- DHCP Snooping TRUST 口:由于DHCP 获取IP 的交互报文是使用广播的形式,从而存在着非法的DHCP 服务影响用户
正常IP 的获取,更有甚者通过非法的DHCP 服务欺骗窃取用户信息的现象,为了防止非法的DHCP 服务的问题,DHCP Snooping
把端口分为两种类型,TRUST 口UNTRUST 口,设备只转发TRUST 口收到的DHCP 应答报文,而丢弃所有来自UNTRUST 口
的DHCP 应答报文,这样我们把合法的DHCP Server 连接的端口设置为TRUST 口,则其他口为UNTRUST 口,就可以实现对
非法DHCP Server 的屏蔽。 - DHCP Snooping 报文过滤:在对个别用户禁用DHCP 报文的情况下,需要评估用户设备发出的任何DHCP 报文,那么我
们可以在端口模式下配置DHCP 报文过滤功能,过滤掉该端口收到的所有DHCP 报文。 - DHCP Snooping 绑定数据库:在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题,用户随意设置的IP
地址不但使网络难以维护,而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络,DHCP Snooping
通过窥探Client 和Server 之间交互的报文,把用户获取到的IP 信息以及用户MAC、VID、PORT、租约时间等信息组成用户
记录表项,从而形成DHCP Snooping 的用户数据库,配合ARP 检测功能或ARP CHECK功能的使用,进而达到控制用户合法使
用IP 地址的目的。
** 四、DHCP snooping 阻断的报文**
IP DHCP Snooping
在 DHCPOffer 报文 服务器回应客户端的报文进行拦截,
DHCP Snooping 把端口分为两种类型,TRUST 口UNTRUST 口,设备只转发TRUST 口收到的DHCP 应答报文,而丢弃所有来
自UNTRUST 口的DHCP 应答报文