DHCP安全分析
班级:网络工程1班
学号:***********
*******
DHCP协议的作用,安全性与解决方案
摘要  随着世界科技的发展,电脑已经普及。各大公司更是进入了无纸化办公的时代。随着日益增多的计算机。分配ip太繁琐成为了最突出的问题。如何才能够不费力气的,给每台主机分配到一个唯一的ip地址呢?我们在这儿谈到的问题,可以运用DHCP服务器来解决。但是对于客户端和服务器来说,DHCP本身没有权限控制机制,恶意用户便可以很容易地获得IP访问内部或外部网络,存在着很大的安全隐患
1.什么是DHCP:
  DHCP的全称是Dynamic Host Configuration Protocol(动态主机配置协议),它的两个主要组
成部分是协议(用在DHCP服务器和客户端之间交流TCP/IP配置参数,协议分装在用户数据报协议UDP数据报中)和服务(用于管理DHCP客户端的请求和维护TCP/IP配置参数的数据库)。DHCP的目的是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。DHCP用于给多个客户端集中分配IP地址以及相关的配置参数,将TCP/IP的设置和IP地址统一起来管理,避免了不必要的地址冲突问题。常常用在众多计算机的网络管理中,从而减少了网络管理员手动配置地址带来的不便。
2.DHCP的分配方式tcp ip协议的安全隐患
 DHCP是基于C/S(客户端/服务器)模式的。这种模式下,根据DHCP协议,把DHCP服务器主机设计成提供初始化参数的主机,传递网络配置参数给需要的网络主机。DHCP协议支持三种IP地址分配方式[2]。第一种是自动分配(Automatic Allocation),一旦DHCP客户端第一次成功的从DHCP服务器端租用到IP地址之后,就永远使用这个地址。第二种是动态分配(Dynamic Allocation),当DHCP客户端第一次从DHCP服务器端租用到IP地址之后,并非永久的使用该地址,只要租约到期,客户端就得释放(release)这个IP地址,以便给其它客户端使用,当然,客户端可以比其它主机更优先的更新(renew)租约,或是租用其它的IP地址。
第三种是手动分配,客户端IP地址由网络管理员指定,DHCP协议仅用来向客户端传递指定的地址。如表2-1所示,列出了动态TCP/IP配置与手动TCP/IP配置的特点对比。DHCP协议其工作原理大致可分为以下几个步骤: 
1.客户端发送DHCP发现广播 
2.发往客户端的DHCP Offer广播 
3.客户端发送的DHCP单播请求 
4.发往客户端的DHCP单播确认
3.DHCP安全隐患
  由以上可以看出DHCP不具有将地址和用户名联合起来管理的功能;DHCP服务器仅仅只能在有请求时分发IP地址,并在过期时将它们收回,它不会询问用户的信息,也不会跟踪除了IP地址和租约参数以外的其它信息;在安全层面,DHCP没有提供任何有效的方式来认证IP地址冲突或者追踪流氓地址,也不具有任何防御恶意主机的功能,因此DHCP极易遭受各种
各样的攻击。当用户连接到网络时,该用户无须提供凭据即可获得租约。因此只要DHCP服务器可用于提供租约,未经身份验证的用户就可以为任何DHCP客户端获得租约。DHCP服务器随租约提供的任何选项值,比如WINS服务器或DNS服务器的IP地址,对未经身份验证的用户都可用。如果DHCP客户端被标识为用户类别或供应商类别的成员,则与该类关联的选项也将可用。DHCP在设计上不具有任何防御恶意主机的功能,因此DHCP极易遭受各种各样的威胁。DHCP服务器的威胁可以是一个非法客户端伪装成一个合法客户端申请IP地址和网络参数,轻易的使用外部和内部网络资源从而导致信息的泄密;也可以是流氓DHCP服务器应答合法的客户端,当客户端申请IP地址和网络参数时,它故意提供错误的配置信息,流氓服务器可以在地址池,排除域,保留地址,子网掩码,DNS服务器地址,默认网关地址等错误的配置。对于DHCP服务器的攻击分为两大类:
  1.DOS攻击。攻击者可以发送数千个DHCP请求向服务器获取地址,而服务器无法判断请求是否真实,因此最终会耗尽所有的可用IP地址,这会导致合法的客户端无法通过DHCP服务器获得IP地址,从而使攻击者达到攻击内网的目的。
  2.DHCP欺骗攻击。攻击者把一台DHCP服务器连接到网络中,并使其充当内网DHCP服务
器的角,这样攻击者就可以将网关指向自己的IP地址,客户端仍然可以获得地址、网关等等,如果客户端要和别的设备进行通信的话就会先将数据发送至攻击设备,此时攻击者扮演着中间人的角,通过一些简单的操作就可轻易的获取信息,比如用户名、密码等机密信息。
试想一下,如果你在一个有无线网的餐厅坐着,那里有免费的wifi,网速还不错。你突然想去网上购物,完成一切后,第二天发现你网银上面的钱没有了。那是一种怎样的心情呀。这个时候你也许根本不知道这是怎么一回事。当你随意连接wifi的时候DHCP服务器给你分配IP地址。可是你却不知道这是一个陷阱网络。你所有的交易信息,交易密码会被不法分子截获从而造成你的损失。近几年wifi在中国发展迅猛,许多的年轻人都拥有了能够连接wifi的pc。他们不管去哪,总会先问:这里有wifi吗?正是这样的契机让许多黑客利用DHCP协议的安全隐患截获大量的信息,达到自己的目的。
4.如何解决DHCP存在的威胁可以用到
1.主动检测非法服务器。这个需要借助设备的力量,安装一个主动检测模块,从而检测整个服务器。
2.检测MAC地址,这个就是将MAC在服务器端绑定。当客户端申请IP地址时,服务器会检测此台机器的MAC是否绑定。从而减小安全隐患。
3. SPINACH[9,10](Secure Public Internet Access Handler)在连接到公共端
口的客户端和部门网络中的主机间建了一个所谓的“监测层”来控制网络中传输的数据。应用在DHCP中时,具体做法如下:在用户进行了身份认证之后,认证服务器给用户一个叫做ticket的控制信息,用户再把ticket提交给适当的服务器以获取必要的信息,比如,用户将ticket提交给路由器以连接到外部网络中。
参考文献:
《计算机网络》-- 谢希仁
《网络安全基础--网络攻防,协议安全》-- (美)雅各布森|译者:仰礼友,赵红宇

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。