DHCP饿死攻击
DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报⽂,向DHCP服务器申请⼤量的IP地址,导致DHCP服务器地址池中的地址耗尽,⽆法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,⽆法处理正常业务。
如果封装DHCP请求报⽂的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制端⼝可以学习到的MAC地址数,并配置学习到的MAC地址数达到最⼤值时,丢弃源MAC地址不在MAC地址表⾥的报⽂,能够避免攻击者申请过多的IP地址,在⼀定程度上缓解DHCP饿死攻击。此时,不存在DHCP饿死攻击的端⼝下的DHCP客户端可以正常获取IP地址,但存在DHCP饿死攻击的端⼝下的DHCP客户端仍可能⽆法获取IP地址。
如果封装DHCP请求报⽂的数据帧的MAC地址都相同,则通过mac-address max-mac-count命令⽆法防⽌DHCP饿死攻击。在这种情况下,需要使能DHCP Snooping的MAC地址检查功能。使能该功能后,DHCP Snooping设备检查接收到的DHCP 请求报⽂中的chaddr字段和数据帧的源MAC地址字段是否⼀致。如果⼀致,则认为该报⽂合法,将其转发给DHCP服务器;如果不⼀致,则丢弃该报⽂。
服务器地址伪造DHCP续约报⽂攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP续约报⽂,导致DHCP服务器和DHCP客户端⽆法按照⾃⼰的意愿及时释放IP地址租约。如果攻击者冒充不同的D
HCP客户端发送⼤量伪造的DHCP续约报⽂,则会导致⼤量IP地址被长时间占⽤,DHCP服务器没有⾜够的地址分配给新的DHCP客户端。
在DHCP Snooping设备上使能DHCP Request报⽂检查功能,可以有效地防⽌伪造DHCP续约报⽂攻击。如果使能了该功能,则DHCP Snooping设备接收到DHCP Request报⽂后,检查本地是否存在与DHCP Request报⽂匹配的DHCP Snooping 表项。若存在,则DHCP Request报⽂信息与DHCP Snooping表项信息⼀致时,认为该报⽂为合法的续约报⽂,将其转发给DHCP服务器;不⼀致时,认为该报⽂为伪造的续约报⽂,将其丢弃。若不存在,则认为该报⽂合法,将其转发给DHCP服务器
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论