摘要:局域网内采用DHCP机制可以提高局域网IP地址分配管理效率,但是,用户私下设置的伪DHCP服务器等威胁影响了合法的DHCP服务器的安全正常运行。IP DHCP Snooping技术通过配置交换机等网络设备的非信任端口,可以隔绝非法的DHCP服务器,实现帮助网络管理人员有效的防治伪DHCP服务器带来的危害。
关键词:局域网;DHCP(动态主机配置协议);DHCP Snooping;伪DHCP服务器;IP 地址冲突
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)30-7372-02
Study of DHCP Server Security under College LAN
HU Yin, LV HAO-Yong
(Network Center of Huanggang Normal University, Huanggang 438000, China)
Abstract: The mechanism of DHCP is adopted by LAN for improving the efficiency of the assignment of IP address. However, the legal DHCP server is influenced by some threatens and can’t work well, for example, some users setup rogue DHCP servers, which legal users will get false network configuration from it. Using the technology of IP DHCP Snooping can isolate the illegal DHCP server by the method of setting the untrusted ports, and this can help mangers of LAN to prevent the harm from rogue DHCP server.
Key words: LAN(local area network); DHCP(Dynamic Host Configuration Protocol); DHCP snooping; rogue DHCP server; IP address conflict
进入21世纪以来,计算机网络技术与应用不断发展,计算机网络的覆盖范围和传输速度亦在不断扩大和提升,特别是随着个人计算机在价格的下降,在操作上更加简单,越来越多的企事业单位开始使用计算机组成局域网来提高工作效率和生产效益。随着局域网规模的不断扩大,IP地址的分配问题日渐突出。静态IP 地址分配方式不仅容易造成IP 地址冲突和配置错误,而且给用户和网络管理带来了很多不便。因此,动态IP 地址分配能够很好地解决了IP 地址管理难的问题,DHCP 的介入有效避免了因手工设置IP地址、子网掩码、网关等所产生的错误,也避免出现多台主机共同争抢一个IP 地址的情况。[1] 但是,伪DHCP服务器的存在给网络管理带来一定的威胁,采用IP DHCP Snooping 技术可以有效对其进行遏制。
1 DHCP协议
DHCP(Dynamic Host Configuration Protocol)使用UDP 协议工作,是一个简化主机IP 地址分配管理的TCP/IP 标准协议。可以利用DHCP 服务器管理动态的IP 地址分配及其相关的环境配置工作,如DNS,WNS,Gateway 的设置。DHCP 避免了手工设置IP 地址及子网掩码所产生的错误,也避免了一个IP 地址分配给多台工作站所造成的地址冲突,降低了管理IP 地址设置的负担,缩短了配置或重新配置网络中客户机所花费的时间,还可以灵活地设置地址租期,节省了IP 资源。
1.1 DHCP 工作原理
当 DHCP 客户端接入网络时,本机上没有任何网络设置,它会向网络发出一个 DHCP DISCOVER 封装包。因为客户端还不知道自己属于哪一个网络,所以封包的来源地址会为 0.0.0.0,而目的地址则为 255.255.255.255,然后再附上 DHCP discover 的信息,向网络进行广播,如图1所示。当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后,它会从那些还没有租出的地址范围内,选择最前面的空置 IP,连同其它 TCP/IP 设定,给客户端发送一个 DHCP OFFER 封装包,由于客户端在开始的时候还没有 IP 地址,所以在其 DHCP discover 封包内会带有其 MAC 地址信息。如果客户端收到网络上多台 DHCP 服务器的响应,只会挑选其中一个 DHCP offer 而已(通常是最先抵达的那个),并且会向网络发送一个DHCP request广播封包,告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 地址。[2-4]
1.2DHCP环境下存在的问题
尽管DHCP 服务器在IP 地址资源管理方面有着独到的好处,但仍然存在以下两个问题:
1)在DHCP环境下私自指定IP地址造成的IP地址冲突。
在这种情况下,只有加强管理,告知用户采用自动获取网络配置的方法设置本地网络连接。
2)在DHCP 环境下私自架设非法的DHCP 服务器或具有DHCP功能小路由器,导致合法DHCP 服务器分配的IP 地址无法正常上网;
那些私自搭建的DHCP 服务器称之为“伪DHCP 服务器”,由伪DHCP 服务器分配的IP 地址会顶掉合法DHCP 服务器分配的IP 地址,整个局域网就又恢复到原先杂乱无章的环境中去。对于主机来说便存在这样一个问题:究竟应该相信哪台DHCP 服务器分配的IP 地址?根据DHCP 工作原理,当客户端收到网络中多台DHCP 服务器响应时,只会挑选最先抵达的那个DHCP offer,并且会向网络发送一个DHCP request 广播封包,告诉其他的DHCP 服务器它将接受哪一台服务器指派的IP 地址,所以当同一个网络内有多个DHCP 服务器时,用户计算机通常会从最近的DHCP 中获得IP 地址。
2 解决方法
2.1 查封伪DHCP服务器
查封伪DHCP 服务器首先从获取错误IP 配置信息的客户机上找到它的IP 地址,然后在汇聚层交换机上找到其对应的MAC 地址,利用该MAC 地址,在接入层交换机上查看其对应的端口,然后将该端口SHUTDOWN,阻断非法DHCP 服务器与外界的联系。[5]
2.2 配置IP DHCP Snooping 防范伪DHCP服务器
DHC P Snooping 技术是一种通过建立DHCP Snooping Binding 数据库,将端口设置为信任端口(连接合法DHCP 服务器的端口或者连接汇聚交换机的上行端口)与非信任端口(通常为连接终端设备的端口,如PC 等),过滤非信任的DHCP 消息,确保客户机从合法的DHCP 服务器获取IP 地址的一种安全机制。[6-8] DHCP Snooping达到的效果示意图,如图2所示。
部署IP DHCP Snooping在二层交换机上,为了使用户能通过合法DHCP 服务器获取的IP 地址,DHCP Snooping 安全机制将上联端口设置为Trust,而所有的下联端口都保持默认状态(Untrust)。非信任端口将接收到的伪DHCP 服务器响应的DHCPACK 和DHCPOFFER 报文丢弃,而信任端口将此DHCP 报文正常转发,保证合法DHCP 服务器的正常运作。
以Cisco 3560 为例,实现步骤如下:
1)Switch(config)# ip dhcp snooping //启用dhcp snooping模式;
2)Switch(config)# int gi1/1//配置信任接口;
3)Switch(config-if)# ip dhcp snooping trust//将端口设置为信任端口;
4)Switch(config)# ip dhcp snooping vlan 12,20//选定需要配置的子网ID。
在默认情况下,所有的端口是untrusted 状态,是不会转发连接到该端口上的设备的DHCP信息。
3 结论
由于学校机房较多和办公室内网络接口不足,所以经常存在私开的DHCP 服务器,或使用带DHCP的小路由的现象,导致大量主机无法分配到合法IP 地址,另外,还有一部分主机指定IP 地址,造成了与DHCP 分配的IP 地址冲突。经过一段时间的分析、实验,采用DHCP Snooping技术,可以有效的遏制私自接入的DHCP服务器或带DHCP的小路由对正常用户的干扰,从而保证了局域网的安全稳定运行。
参考文献:
[1] 陈小中.校园网DHCP故障与解决[J].福建电脑,2010,(10):167-169.
[2] 李方敏,卢锡城,汪钟鸣.主机动态配置协议(DHCP)原理及其实现[J].湘潭矿业学院学报,1997,12(3):17-24.
[3] 李梅,梁岸兵.端口隔离在校园网中的实施和分析[J].电脑知识与技术,2010,6(6):1307-1308,1311.
[4] 区咏莹.论DHCP网络协议的安全性问题与解决[J].电脑知识与技术,2009,l5(15):3886-3887.
[5] 余光华.高校局域网用户自行接入DHCP服务器故障的排除[J].电脑编程技巧与维护,2010,(10):117-118,127.
[6] 史罕初,彭毓涛.基于IP DHCP Snooping的大型局域网安全策略研究[J].网络安全技术与应用,2009,(11):20-23.
[7] Cisco.https://learningnetwork.cisco.com/docs/DOC-2314.
[8] 陈贤敏.基于DHCP Snooping 技术防御ARP病毒[J].福建电脑,2009,(12):75,90.
