亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

 　　許多大型企業(yè)由于使用網(wǎng)絡的員工人數(shù)眾多，IP地址的使用問題日益困擾著網(wǎng)絡管理人員，通過手動分配IP地址的網(wǎng)絡環(huán)境中經(jīng)常引發(fā)IP地址沖突以及IP地址管理混亂的問題。而通過部署DHCP服務器為客戶端提供網(wǎng)絡服務，能夠大大方便網(wǎng)絡管理。客戶端連入網(wǎng)絡后會發(fā)送DHCP請求包，DHCP服務器會應答并提供IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，DNS等信息。但是，當網(wǎng)絡中出現(xiàn)另外一臺非法的DHCP服務器將會怎樣呢?顯而易見，這必然造成網(wǎng)絡的混亂，IP攻擊也就會觸發(fā)�！皟�(nèi)鬼”難防，如何防呢? 今天我們就為大家介紹一下DHCP攻防原理，并為大家推薦一款能夠有效抵御DHCP攻擊的NEWDON NBADswitchII+系列交換機。

工作原理

　　Dynamic Host Configuration Protocol, (DHCP) 動態(tài)主機配置協(xié)議，主要的目的是為用戶主機動態(tài)分配IP地址， 客戶端是端口68，而服務器是67。

工作過程

如上圖為DCHP最重要的5步分配、獲取工作過程，其DHCP 封包類型細節(jié)如下表：

DHCP message	用途
DHCP Discover	Client端廣播發(fā)出給DHCP Server端。
DHCP Offer	DHCP Server單播回應分配相關(guān)參數(shù)給Client（IP、subnet Mask）。
DHCP Request	Client針對收到的Offer廣播回應DHCP Server。
DHCP ACK	Server確定Client的Request請求。
DHCP NAK	Server拒絕Client的Request請求。
DHCP Release	Client釋放IP地址。
DHCP Inform	Client請求配置參數(shù)。
DHCP Decline	Client通知ServerIP地址已經(jīng)耗盡。

攻擊防護

攻擊實現(xiàn)原理

常用DHCP攻擊方式：

DHCP Rogue Server

　�。ㄈ缦聢D）當Client主機發(fā)送DHCP Discover 查詢廣播封包到LAN中，Rogue DHCP Server 在接收到Client 查詢包的同時將回應一個DHCP offer給Client，分配非法的IP 、Default Router、DNS信息給Client。

 

DOS Attacks DHCP攻擊

　　惡意主機會使用DOS Attack攻擊方法將合法的DHCP Server 地址段全部消耗完畢，其主要做法是通過偽造隨機的MAC來封裝和發(fā)送DHCP Discover封包，只要數(shù)量足夠大，完全有可能消耗掉DHCP Server 中的IP地址池，正常主機發(fā)送DHCP Server 將會被拒絕，無法分配到IP地址等參數(shù)。

DHCP攻擊防護

MAC+端口綁定

　　DOS Attacks DHCP攻擊，惡意主機通常會使用隨機的MAC的來偽裝，通過使用NEWDON NBADswitchII+的MAC+端口綁定可以過濾或減輕ARP欺騙攻擊行為；DOS Attack DHCP中還有種比較隱蔽的方式是僅只修改DHCP Client MAC，而MAC綁定的方式對此是無效的，需要使用下面3.1.3介紹的ACL來方式來過濾。

DHCP服務器防護功能

　　NEWDON NBADswitchII為DHCP服務器提供了防護功能，在交換機對用戶端口禁止使用非法的DHCPServer的接入，將全部過濾DHCP Rogue Server 分發(fā)給Client主機的IP 地址等信息。

ACL

　　NEWDON NBADswitchII+ 雖然沒有單獨提供DHCP Spoofing防護功能，但它提供了ACL，可以針對DHCP的特征封包來防護DHCP欺騙等攻擊。（如下圖）可以在連接用戶主機的交換機端口，禁止源端口為67，目標端口為68的UDP封包，就可以將過濾掉非法的DHCP欺騙封包以保護其主機使用合法DHCP Server。防范DHCP Rogue Server的攻擊方式。

 

　　對于DOS Attacks DHCP攻擊方式，可以通過ACL來控制減少此類攻擊。

　　相信通過本文的介紹，大家對于DHCP攻防原理也會有進一步的了解。而文中介紹的NEWDON NBADswitchII+系列交換機是紐盾科技旗下的產(chǎn)品，該公司雖然是一家新興成立的網(wǎng)絡安全設備供應商，但憑借出色的產(chǎn)品質(zhì)量、強大的研發(fā)能力、雄厚的技術(shù)實力以及完善周到的售后服務讓紐盾的產(chǎn)品擁有強悍的市場競爭力，有興趣的朋友不妨可以關(guān)注一下。

電話：021-51619288
傳真：021-51619298
mail：sales@newdon.net
網(wǎng)址：www.newdon.net