DHCP欺骗攻击 ARP欺骗攻击.ppt

DHCP欺骗攻击 ARP 欺骗攻击
攻击原理及防护
主讲人:遗忘
本人水平有限,如有错误,敬请谅解
1
1
理解和防御欺骗攻击
欺骗攻击之所以能够发生,是因为很多协议都需要主机返回应答消息,即使有时主机并没有收到请求。通过欺骗或假扮成另一台设备,攻击者可以重定向从预定目标来的部分或全部流量,或者重定向去往预定目标的部分或全部流量。攻击开始后,被攻击设备发出的所有流量会穿越攻击者的计算机,然后才转发到路由器、交换机或主机。
2
2
提纲
DHCP欺骗攻击
DHCP snooping(DHCP侦听)
ARP欺骗攻击
Dynamic ARP inspection (动态ARP检测)
3
3
DHCP攻击过程的实施顺序
攻击者把未授权的DHCP服务器链接到交换机端口
客户端发送广播,来请求DHCP配置信息
未授权DHCP服务器在合法DHCP服务器之前进行应答,为客户端分配攻击者所定义的IP配置信息
主机把攻击者提供的不正确的DHCP地址当作默认网关,从而把数据包发送给攻击者的地址
4
4
DHCP欺骗攻击
5
5
DHCP欺骗攻击
6
6
7
7
以上就是DHCP 欺骗攻击的全过程。究其攻击的根源在于交换机在同一个VLAN下所有接口都处于同一个广播域,因此DHCP包发出后,处于同一个 VLAN的PC机都应该会收到。只不过在正常情况下,只有DHCP Server才会对DHCP请求进行回应。但是没有人可以保证在一个VLAN里不会有人恶意或者是不小心的开启了DHCP server功能。那么我们如何来防范这种“不小心”了??解决的方式为:在交换机上开启DHCP snooping功能,将普通PC连接的端口设置为非信任端口,一旦在此接口上收到DHCP 回应包,就将此接口down掉!当然也可以基于VLAN,配合DHCP的82选项做更细致的设置。
8
8
DHCP snooping 技术介绍
只转发从信任端口进来的DHCP offer报文
只转发报文中MAC地址与数据帧中的MAC地址相同的请求报文
对端口的DHCP报文进行限速
DHCP监听会建立一张DHCP监听绑定表(DHCP Snooping Binding)内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。
9
9
Trust port 与 untrust port
10
10