摘 要:动态主机配置协议(DHCP)欺骗攻击方式绝大部分是欺骗 DHCP 其他客户端和欺骗 DHCP 服务器这两种形式,攻击者目的是让 DHCP 客户端把所有原本要发送给其他客户端设备的信息都发送给攻击者,由此达到中间人攻击的效果或者让新连接的 DHCP 客户端无法获取到可用 IP 地址,从而达到拒绝服务攻击的效果。文章介绍了缓解上述两种攻击的方式,即通过对交换机的端口进行区分和在端口上配置限速的 DHCP 监听 (DHCP Snooping) 方法来部署与实现。
关键词:DHCP 欺骗攻击;DHCP 监听;端口区分;端口限速
DOI:10.19850/j.cnki.2096-4706.2022.24.019
中图分类号:TP393 文献标识码:A 文章编号:2096-4706(2022)24-0075-04
Deployment and Implementation of DHCP Spoofing Attack and Its Mitigation Method
LIU Yemei 1, XU Longquan2
(1.YGsoft Inc., Zhuhai 519085, China; 2.Zhuhai Technician College, Zhuhai 519000, China)
Abstract: Most of the DHCP spoofing attacks are in two forms: spoofing other DHCP clients and spoofing the DHCP server. The purpose of the attacker is to let the DHCP client send all the information that is originally intended to be sent to other client devices to the attacker. So as to achieve the effect of middleman attack or prevent the newly connected DHCP client from obtaining an available IP address, thereby achieving the effect of a denial of service attack. This paper introduces the ways to mitigate the above two attacks, that is, it is deployed and implemented by distinguishing the ports of switches and configuring speed limited DHCP Snooping on the ports.
Keywords: DHCP spoofing attack; DHCP snooping; port differentiation; port speed limited
参考文献:
[1] 田果,徐龙泉 . 实施网络空间安全原理与实践 [M]. 北京:人民邮电出版社,2022.
[2] 莫雷 . 哈伯 . 身份攻击向量 [M]. 北京:人民邮电出版社,2022.
[3] 郭启全 . 网络安全等级保护基本要求 [M]. 北京:北京航空航天大学出版社,2022.
[4] 王孔祥 . 全球治理与网络安全 [M]. 北京:时事出版社,2022.
[5] 曹天杰,张爱娟 . 网络空间安全概论 [M]. 西安:西安电子科技大学出版社,2022.
[6] 曹炯清,阳柳,徐静,等.交换与路由实用配置技术(第3版)[M]. 北京:清华大学出版社,2022.
[7] 范渊 . 城市数字化转型下的网络与数据安全 [M]. 北京:电子工业出版社,2022.
作者简介:刘叶梅(1986—),女,汉族,江西赣州人,高级工程师,本科,研究方向:网络空间安全技术、统一通信技术、计算机网络技术;徐龙泉(1985—),男,汉族,江西九江人,高级工程师,高级讲师,硕士,研究方向:网络安全技术、路由交换技术、无线技术。