DHCP Snooping是DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系。DHCP Snooping可以抵御網(wǎng)絡(luò)中針對(duì)DHCP的各種攻擊，為用戶提供更安全的網(wǎng)絡(luò)環(huán)境和更穩(wěn)定的網(wǎng)絡(luò)服務(wù)。

目錄

• 為什么需要DHCP Snooping？
• DHCP Snooping應(yīng)用場(chǎng)景有哪些？
• DHCP Snooping是如何工作的？

為什么需要DHCP Snooping？

目前DHCP協(xié)議（RFC2131）在應(yīng)用的過程中遇到很多安全方面的問題，網(wǎng)絡(luò)中存在一些針對(duì)DHCP的攻擊，如DHCP Server仿冒者攻擊、DHCP Server的拒絕服務(wù)攻擊、仿冒DHCP報(bào)文攻擊等。為了保證網(wǎng)絡(luò)通信業(yè)務(wù)的安全性，引入DHCP Snooping技術(shù)。在DHCP Client和DHCP Server之間建立一道防火墻，以抵御網(wǎng)絡(luò)中針對(duì)DHCP的各種攻擊。

DHCP Snooping應(yīng)用場(chǎng)景有哪些？

防止DHCP Server仿冒者攻擊導(dǎo)致用戶獲取到錯(cuò)誤的IP地址和網(wǎng)絡(luò)參數(shù)

攻擊原理

由于DHCP Server和DHCP Client之間沒有認(rèn)證機(jī)制，所以如果在網(wǎng)絡(luò)上隨意添加一臺(tái)DHCP服務(wù)器，它就可以為客戶端分配IP地址以及其他網(wǎng)絡(luò)參數(shù)。如果該DHCP服務(wù)器為用戶分配錯(cuò)誤的IP地址和其他網(wǎng)絡(luò)參數(shù)，將會(huì)對(duì)網(wǎng)絡(luò)造成非常大的危害。

如下圖所示，DHCP Discover報(bào)文是以廣播形式發(fā)送，無論是合法的DHCP Server，還是非法的DHCP Server都可以接收到DHCP Client發(fā)送的DHCP Discover報(bào)文。

DHCP Client發(fā)送DHCP Discover報(bào)文示意圖 

DHCP Client發(fā)送DHCP Discover報(bào)文示意圖 如果此時(shí)DHCP Server仿冒者回應(yīng)給DHCP Client仿冒信息，如錯(cuò)誤的網(wǎng)關(guān)地址、錯(cuò)誤的DNS（Domain Name System）服務(wù)器、錯(cuò)誤的IP等信息，如圖2所示。DHCP Client將無法獲取正確的IP地址和相關(guān)信息，導(dǎo)致合法客戶無法正常訪問網(wǎng)絡(luò)或信息安全受到嚴(yán)重威脅。

圖1-3 DHCP Server仿冒者攻擊示意圖

解決方法

為了防止DHCP Server仿冒者攻擊，可配置設(shè)備接口的“信任（Trusted）/非信任（Untrusted）”工作模式。

將與合法DHCP服務(wù)器直接或間接連接的接口設(shè)置為信任接口，其他接口設(shè)置為非信任接口。此后，從“非信任（Untrusted）”接口上收到的DHCP回應(yīng)報(bào)文將被直接丟棄，這樣可以有效防止DHCP Server仿冒者的攻擊。如下圖所示。

圖1-4 Trusted/Untrusted工作模式示意圖

防止非DHCP用戶攻擊導(dǎo)致合法用戶無法正常使用網(wǎng)絡(luò)

攻擊原理

在DHCP網(wǎng)絡(luò)中，靜態(tài)獲取IP地址的用戶（非DHCP用戶）對(duì)網(wǎng)絡(luò)可能存在多種攻擊，譬如仿冒DHCP Server、構(gòu)造虛假DHCP Request報(bào)文等。這將為合法DHCP用戶正常使用網(wǎng)絡(luò)帶來了一定的安全隱患。

解決方法

為了有效的防止非DHCP用戶攻擊，可開啟設(shè)備根據(jù)DHCP Snooping綁定表生成接口的靜態(tài)MAC表項(xiàng)功能。

之后，設(shè)備將根據(jù)接口下所有的DHCP用戶對(duì)應(yīng)的DHCP Snooping綁定表項(xiàng)自動(dòng)執(zhí)行命令生成這些用戶的靜態(tài)MAC表項(xiàng)，并同時(shí)關(guān)閉接口學(xué)習(xí)動(dòng)態(tài)MAC表項(xiàng)的能力。此時(shí)，只有源MAC與靜態(tài)MAC表項(xiàng)匹配的報(bào)文才能夠通過該接口，否則報(bào)文會(huì)被丟棄。因此對(duì)于該接口下的非DHCP用戶，只有管理員手動(dòng)配置了此類用戶的靜態(tài)MAC表項(xiàng)其報(bào)文才能通過，否則報(bào)文將被丟棄。

動(dòng)態(tài)MAC表項(xiàng)是設(shè)備自動(dòng)學(xué)習(xí)并生成的，靜態(tài)MAC表項(xiàng)則是根據(jù)命令配置而成的。MAC表項(xiàng)中包含用戶的MAC、所屬VLAN、連接的接口號(hào)等信息，設(shè)備可根據(jù)MAC表項(xiàng)對(duì)報(bào)文進(jìn)行二層轉(zhuǎn)發(fā)。

防止DHCP報(bào)文泛洪攻擊導(dǎo)致設(shè)備無法正常工作

攻擊原理

在DHCP網(wǎng)絡(luò)環(huán)境中，若攻擊者短時(shí)間內(nèi)向設(shè)備發(fā)送大量的DHCP報(bào)文，將會(huì)對(duì)設(shè)備的性能造成巨大的沖擊以致可能會(huì)導(dǎo)致設(shè)備無法正常工作。

解決方法

為了有效的防止DHCP報(bào)文泛洪攻擊，在使能設(shè)備的DHCP Snooping功能時(shí)，可同時(shí)使能設(shè)備對(duì)DHCP報(bào)文上送DHCP報(bào)文處理單元的速率進(jìn)行檢測(cè)的功能。此后，設(shè)備將會(huì)檢測(cè)DHCP報(bào)文的上送速率，并僅允許在規(guī)定速率內(nèi)的報(bào)文上送至DHCP報(bào)文處理單元，而超過規(guī)定速率的報(bào)文將會(huì)被丟棄。

防止仿冒DHCP報(bào)文攻擊導(dǎo)致合法用戶無法獲得IP地址或異常下線

攻擊原理

已獲取到IP地址的合法用戶通過向服務(wù)器發(fā)送DHCP Request或DHCP Release報(bào)文用以續(xù)租或釋放IP地址。如果攻擊者冒充合法用戶不斷向DHCP Server發(fā)送DHCP Request報(bào)文來續(xù)租IP地址，會(huì)導(dǎo)致這些到期的IP地址無法正?；厥眨灾乱恍┖戏ㄓ脩舨荒塬@得IP地址；而若攻擊者仿冒合法用戶的DHCP Release報(bào)文發(fā)往DHCP Server，將會(huì)導(dǎo)致用戶異常下線。

解決方法

為了有效的防止仿冒DHCP報(bào)文攻擊，可利用DHCP Snooping綁定表的功能。設(shè)備通過將DHCP Request續(xù)租報(bào)文和DHCP Release報(bào)文與綁定表進(jìn)行匹配操作能夠有效的判別報(bào)文是否合法（主要是檢查報(bào)文中的VLAN、IP、MAC、接口信息是否匹配動(dòng)態(tài)綁定表），若匹配成功則轉(zhuǎn)發(fā)該報(bào)文，匹配不成功則丟棄。

防止DHCP Server服務(wù)拒絕攻擊導(dǎo)致部分用戶無法上線

攻擊原理

如下圖所示，若設(shè)備接口if1下存在大量攻擊者惡意申請(qǐng)IP地址，會(huì)導(dǎo)致DHCP Server中IP地址快速耗盡而不能為其他合法用戶提供IP地址分配服務(wù)。

另一方面，DHCP Server通常僅根據(jù)DHCP Request報(bào)文中的CHADDR（Client Hardware Address）字段來確認(rèn)客戶端的MAC地址。如果某一攻擊者通過不斷改變CHADDR字段向DHCP Server申請(qǐng)IP地址，同樣將會(huì)導(dǎo)致DHCP Server上的地址池被耗盡，從而無法為其他正常用戶提供IP地址。

圖1-5 DHCP Server服務(wù)拒絕攻擊示意

解決方法

為了抑制大量DHCP用戶惡意申請(qǐng)IP地址，在使能設(shè)備的DHCP Snooping功能后，可配置設(shè)備或接口允許接入的最大DHCP用戶數(shù)，當(dāng)接入的用戶數(shù)達(dá)到該值時(shí)，則不再允許任何用戶通過此設(shè)備或接口成功申請(qǐng)到IP地址。而對(duì)通過改變DHCP Request報(bào)文中的CHADDR字段方式的攻擊，可使能設(shè)備檢測(cè)DHCP Request報(bào)文幀頭MAC與DHCP數(shù)據(jù)區(qū)中CHADDR字段是否一致功能，此后設(shè)備將檢查上送的DHCP Request報(bào)文中的幀頭MAC地址是否與CHADDR值相等，相等則轉(zhuǎn)發(fā)，否則丟棄。

通過LDRA功能感知用戶位置信息

LDRA稱為輕量級(jí)DHCPv6中繼代理，該中繼代理能夠記錄用戶位置信息并將其發(fā)送到DHCPv6 Server，從而使得DHCPv6 Server能夠獲取到用戶詳細(xì)的物理位置信息，以實(shí)現(xiàn)對(duì)用戶客戶端部署諸如地址分配、計(jì)費(fèi)、接入控制等策略。

如圖1所示，用戶通過DHCPv6方式獲取IPv6地址。在管理員部署該網(wǎng)絡(luò)時(shí)需要限制接口interface1下的用戶對(duì)網(wǎng)絡(luò)資源的訪問以提高網(wǎng)絡(luò)的安全性。

LDRA應(yīng)用組網(wǎng)圖 LDRA應(yīng)用組網(wǎng)圖 在傳統(tǒng)的DHCPv6動(dòng)態(tài)分配IPv6地址過程中，DHCPv6 Server無法獲取到用戶詳細(xì)的物理位置信息，以致不能為interface1接口下的用戶部署地址分配、接入控制等策略。

為解決上述問題，管理員在使能Switch的DHCP Snooping功能之后，可使能其LDRA功能。這樣，Switch既能夠獲取用戶詳細(xì)的位置信息并將其發(fā)送到DHCPv6 Server。DHCPv6 Server即可根據(jù)用戶的詳細(xì)位置信息為其部署地址分配策略或其他安全策略。

LDRA功能僅是記錄了DHCPv6用戶的詳細(xì)位置信息并通過RELAY-FORW報(bào)文將該信息發(fā)送給DHCPv6 Server，對(duì)不同的用戶部署諸如地址分配、計(jì)費(fèi)、接入控制等策略，由DHCPv6 Server實(shí)現(xiàn)。

DHCP Snooping是如何工作的？

DHCP Snooping分為DHCPv4 Snooping和DHCPv6 Snooping，兩者實(shí)現(xiàn)原理相似，以下以DHCPv4 Snooping為例進(jìn)行描述。使能了DHCP Snooping的設(shè)備將用戶（DHCP客戶端）的DHCP請(qǐng)求報(bào)文通過信任接口發(fā)送給合法的DHCP服務(wù)器。之后設(shè)備根據(jù)DHCP服務(wù)器回應(yīng)的DHCP ACK報(bào)文信息生成DHCP Snooping綁定表。后續(xù)設(shè)備再?gòu)氖鼓芰薉HCP Snooping的接口接收用戶發(fā)來的DHCP報(bào)文時(shí)，會(huì)進(jìn)行匹配檢查，能夠有效防范非法用戶的攻擊。

DHCP Snooping信任功能

DHCP Snooping的信任功能，能夠保證客戶端從合法的服務(wù)器獲取IP（Internet Protocol）地址。

如下圖所示，網(wǎng)絡(luò)中如果存在私自架設(shè)的DHCP Server仿冒者，則可能導(dǎo)致DHCP客戶端獲取錯(cuò)誤的IP地址和網(wǎng)絡(luò)配置參數(shù)，無法正常通信。DHCP Snooping信任功能可以控制DHCP服務(wù)器應(yīng)答報(bào)文的來源，以防止網(wǎng)絡(luò)中可能存在的DHCP Server仿冒者為DHCP客戶端分配IP地址及其他配置信息。

DHCP Snooping信任功能將接口分為信任接口和非信任接口：

• 信任接口正常接收DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報(bào)文。
• 非信任接口在接收到DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報(bào)文后，丟棄該報(bào)文。在二層網(wǎng)絡(luò)接入設(shè)備使能DHCP Snooping場(chǎng)景中，一般將與合法DHCP服務(wù)器直接或間接連接的接口設(shè)置為信任接口（如下圖中的if1接口），其他接口設(shè)置為非信任接口（如下圖中的if2接口），使DHCP客戶端的DHCP請(qǐng)求報(bào)文僅能從信任接口轉(zhuǎn)發(fā)出去，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的DHCP Server仿冒者無法為DHCP客戶端分配IP地址。

圖1-7 DHCP Snooping信任功能示意圖

DHCP Snooping綁定表

如下圖所示的DHCP場(chǎng)景中，連接在二層接入設(shè)備上的PC配置為自動(dòng)獲取IP地址。PC作為DHCP客戶端通過廣播形式發(fā)送DHCP請(qǐng)求報(bào)文，使能了DHCP Snooping功能的二層接入設(shè)備將其通過信任接口轉(zhuǎn)發(fā)給DHCP服務(wù)器。最后DHCP服務(wù)器將含有IP地址信息的DHCP ACK報(bào)文通過單播的方式發(fā)送給PC。在這個(gè)過程中，二層接入設(shè)備收到DHCP ACK報(bào)文后，會(huì)從該報(bào)文中提取關(guān)鍵信息（包括PC的MAC地址以及獲取到的IP地址、地址租期），并獲取與PC連接的使能了DHCP Snooping功能的接口信息（包括接口編號(hào)及該接口所屬的VLAN），根據(jù)這些信息生成DHCP Snooping綁定表。以PC1為例，圖中二層接入設(shè)備會(huì)從DHCP ACK報(bào)文提取到IP地址信息為192.168.1.253，MAC地址信息為MACA。再獲取與PC連接的接口信息為if3，根據(jù)這些信息生成一條DHCP Snooping綁定表項(xiàng)。

圖1-8 DHCP Snooping綁定表功能示意圖

DHCP Snooping綁定表根據(jù)DHCP租期進(jìn)行老化或根據(jù)用戶釋放IP地址時(shí)發(fā)出的DHCP Release報(bào)文自動(dòng)刪除對(duì)應(yīng)表項(xiàng)。

由于DHCP Snooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系，故通過對(duì)報(bào)文與DHCP Snooping綁定表進(jìn)行匹配檢查，能夠有效防范非法用戶的攻擊。

為了保證設(shè)備在生成DHCP Snooping綁定表時(shí)能夠獲取到用戶MAC等參數(shù)，DHCP Snooping功能需應(yīng)用于二層網(wǎng)絡(luò)中的接入設(shè)備或第一個(gè)DHCP Relay上。

在DHCP中繼使能DHCP Snooping場(chǎng)景中，DHCP Relay設(shè)備不需要設(shè)置信任接口。因?yàn)镈HCP Relay收到DHCP請(qǐng)求報(bào)文后進(jìn)行源目的IP、MAC轉(zhuǎn)換處理，然后以單播形式發(fā)送給指定的合法DHCP服務(wù)器，所以DHCP Relay收到的DHCP ACK報(bào)文都是合法的，生成的DHCP Snooping綁定表也是正確的。