亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

 　　許多大型企業(yè)由于使用網(wǎng)絡(luò)的員工人數(shù)眾多，IP地址的使用問題日益困擾著網(wǎng)絡(luò)管理人員，通過手動分配IP地址的網(wǎng)絡(luò)環(huán)境中經(jīng)常引發(fā)IP地址沖突以及IP地址管理混亂的問題。而通過部署DHCP服務(wù)器為客戶端提供網(wǎng)絡(luò)服務(wù)，能夠大大方便網(wǎng)絡(luò)管理�？蛻舳诉B入網(wǎng)絡(luò)后會發(fā)送DHCP請求包，DHCP服務(wù)器會應(yīng)答并提供IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，DNS等信息。但是，當(dāng)網(wǎng)絡(luò)中出現(xiàn)另外一臺非法的DHCP服務(wù)器將會怎樣呢?顯而易見，這必然造成網(wǎng)絡(luò)的混亂，IP攻擊也就會觸發(fā)�！皟�(nèi)鬼”難防，如何防呢? 今天我們就為大家介紹一下DHCP攻防原理，并為大家推薦一款能夠有效抵御DHCP攻擊的NEWDON NBADswitchII+系列交換機(jī)。

工作原理

　　Dynamic Host Configuration Protocol, (DHCP) 動態(tài)主機(jī)配置協(xié)議，主要的目的是為用戶主機(jī)動態(tài)分配IP地址， 客戶端是端口68，而服務(wù)器是67。

工作過程

如上圖為DCHP最重要的5步分配、獲取工作過程，其DHCP 封包類型細(xì)節(jié)如下表：

DHCP message	用途
DHCP Discover	Client端廣播發(fā)出給DHCP Server端。
DHCP Offer	DHCP Server單播回應(yīng)分配相關(guān)參數(shù)給Client（IP、subnet Mask）。
DHCP Request	Client針對收到的Offer廣播回應(yīng)DHCP Server。
DHCP ACK	Server確定Client的Request請求。
DHCP NAK	Server拒絕Client的Request請求。
DHCP Release	Client釋放IP地址。
DHCP Inform	Client請求配置參數(shù)。
DHCP Decline	Client通知ServerIP地址已經(jīng)耗盡。

攻擊防護(hù)

攻擊實現(xiàn)原理

常用DHCP攻擊方式：

DHCP Rogue Server

　　（如下圖）當(dāng)Client主機(jī)發(fā)送DHCP Discover 查詢廣播封包到LAN中，Rogue DHCP Server 在接收到Client 查詢包的同時將回應(yīng)一個DHCP offer給Client，分配非法的IP 、Default Router、DNS信息給Client。

 

DOS Attacks DHCP攻擊

　　惡意主機(jī)會使用DOS Attack攻擊方法將合法的DHCP Server 地址段全部消耗完畢，其主要做法是通過偽造隨機(jī)的MAC來封裝和發(fā)送DHCP Discover封包，只要數(shù)量足夠大，完全有可能消耗掉DHCP Server 中的IP地址池，正常主機(jī)發(fā)送DHCP Server 將會被拒絕，無法分配到IP地址等參數(shù)。

DHCP攻擊防護(hù)

MAC+端口綁定

　　DOS Attacks DHCP攻擊，惡意主機(jī)通常會使用隨機(jī)的MAC的來偽裝，通過使用NEWDON NBADswitchII+的MAC+端口綁定可以過濾或減輕ARP欺騙攻擊行為；DOS Attack DHCP中還有種比較隱蔽的方式是僅只修改DHCP Client MAC，而MAC綁定的方式對此是無效的，需要使用下面3.1.3介紹的ACL來方式來過濾。

DHCP服務(wù)器防護(hù)功能

　　NEWDON NBADswitchII為DHCP服務(wù)器提供了防護(hù)功能，在交換機(jī)對用戶端口禁止使用非法的DHCPServer的接入，將全部過濾DHCP Rogue Server 分發(fā)給Client主機(jī)的IP 地址等信息。

ACL

　　NEWDON NBADswitchII+ 雖然沒有單獨(dú)提供DHCP Spoofing防護(hù)功能，但它提供了ACL，可以針對DHCP的特征封包來防護(hù)DHCP欺騙等攻擊。（如下圖）可以在連接用戶主機(jī)的交換機(jī)端口，禁止源端口為67，目標(biāo)端口為68的UDP封包，就可以將過濾掉非法的DHCP欺騙封包以保護(hù)其主機(jī)使用合法DHCP Server。防范DHCP Rogue Server的攻擊方式。

 

　　對于DOS Attacks DHCP攻擊方式，可以通過ACL來控制減少此類攻擊。

　　相信通過本文的介紹，大家對于DHCP攻防原理也會有進(jìn)一步的了解。而文中介紹的NEWDON NBADswitchII+系列交換機(jī)是紐盾科技旗下的產(chǎn)品，該公司雖然是一家新興成立的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商，但憑借出色的產(chǎn)品質(zhì)量、強(qiáng)大的研發(fā)能力、雄厚的技術(shù)實力以及完善周到的售后服務(wù)讓紐盾的產(chǎn)品擁有強(qiáng)悍的市場競爭力，有興趣的朋友不妨可以關(guān)注一下。

電話：021-51619288
傳真：021-51619298
mail：sales@newdon.net
網(wǎng)址：www.newdon.net