1. DHCP欺骗攻击一场悄无声息的“地址劫持”想象一下你刚搬进一个新小区正准备去物业DHCP服务器登记领取自家的门牌号IP地址和小区地图网关、DNS信息。这时一个伪装成物业工作人员的骗子攻击者抢先一步不仅用假身份领光了所有空余的门牌号还蹲在门口给后来的你发了一张错误的地图。结果就是你按照错误的地图出门本该去超市却走进了一个精心伪装的假超市钓鱼网站。这就是发生在网络世界里的DHCP欺骗攻击它不像暴力破解那样声势浩大却能在你毫无察觉的情况下悄无声息地接管你的网络流量。我遇到过不少中小企业的网管朋友他们总觉得网络核心交换机配置好了就万事大吉内网是安全的。直到有一天有员工反映上网总跳转到奇怪的广告页面或者突然无法获取IP地址排查半天才发现内网里混进了一台“不速之机”。这种攻击成本极低一台普通的笔记本电脑运行几个开源工具就能发起但危害却很大。攻击者不仅能让你上不了网更能让你在“假银行”里输入真密码。这种攻击通常分为两个紧密衔接的阶段我们称之为“双杀”组合拳。第一阶段是地址池耗尽攻击也叫DHCP饥饿攻击。攻击者会伪造海量的DHCP请求报文Discover每个请求都使用随机生成的MAC地址。咱们的DHCP服务器很“实诚”它认MAC地址发IP来一个陌生的MAC就分配一个IP。攻击者瞬间发送成千上万个这样的请求就能把地址池里的IP地址全部“借”光。这时候正当的用户比如你的电脑再开机申请地址就会听到服务器无奈的回复“对不起地址已发完。”网络瞬间瘫痪。但这只是前菜。第二阶段才是真正的DNS劫持与欺骗。当合法的DHCP服务器被“撑死”无法响应后潜伏的攻击者会立刻摇身一变自己启动一个恶意的DHCP服务。当你的电脑再次广播“我需要一个地址”时回应你的就是这个恶意服务器了。它会给你分配一个“看起来正常”的IP地址和网关但最关键的一步是它把DNS服务器的地址指向了攻击者自己控制的一台机器。从此以后你所有“去哪儿”的请求比如访问www.abc.com都要先经过这个假的“指路员”恶意DNS。它当然不会给你指对路而是把你心爱的电商网站、网银页面的地址统统指向它搭建好的钓鱼网站。你输入的账号、密码、验证码在点击“登录”的那一刻就已经落入了攻击者的口袋。2. 防御基石DHCP Snooping 工作原理深度拆解知道了攻击怎么来的咱们就得筑起防线。防御DHCP欺骗的核心技术就是DHCP SnoopingDHCP窥探。这名字起得很形象它就像网络里的一个“保安队长”不参与具体的分地址工作DHCP服务但瞪大眼睛盯着所有DHCP对话的流程确保每一句话都合规合法。这个“保安队长”上岗后会立刻做一件重要的事给交换机上的所有端口贴标签。它把所有端口默认标记为untrust非信任状态。想想看在我们的网络里DHCP服务器的位置是固定且已知的是唯一可信的“发证机关”。而连接普通用户电脑、打印机、无线AP的端口则是可能混入坏人的“风险区域”。所以Snooping策略很简单只允许从“信任端口”进来的DHCP服务器响应报文Offer、ACK而对于从“非信任端口”进来的服务器响应一律当作骗子处理直接丢弃。但这只是第一道安检。一个高明的攻击者可能会伪造非常逼真的报文。所以DHCP Snooping还有几项关键的深度检查能力1. 报文一致性检查它会检查DHCP请求报文Discover/Request的二层帧头里的源MAC地址是否和报文数据部分里携带的客户端MAC地址一致。早期的简单攻击工具可能忽略这一点Snooping就能直接把它揪出来。2. Option 82字段检测这是一个高级功能。Option 82是DHCP报文中的一个可选字段也叫“中继代理信息”。它的作用是让网络设备通常是交换机在转发DHCP请求时把自己是谁设备标识、客户是从哪个端口进来的端口标识等信息“塞”进报文里。这样DHCP服务器不仅能分配IP还能知道这个IP最终被谁、在哪儿使用。在Snooping的视角下这个字段只能由可信的网络设备交换机添加。如果它从一个“非信任端口”也就是用户电脑直接连接的端口收到的请求报文中发现了Option 82字段那肯定有问题——普通用户电脑没这个权限和能力添加这个字段。这就像一个小学生交上来的作业本里出现了大学教授的批注笔迹立刻就能判定是伪造的。3. 防恶意退租这是一种比较“损”的攻击。攻击者不是自己申请地址而是伪造其他合法用户的MAC和IP地址向DHCP服务器发送“Release”释放或“Decline”拒绝报文。服务器收到后会以为那个用户已经下线就把IP地址回收了。等真正的用户还在用网时地址冲突就发生了或者新用户拿到了这个正在使用的IP导致双方都无法上网。DHCP Snooping会维护一个绑定表后面会详细讲能有效识别和过滤这类恶意退租报文。4. 构建安全绑定数据库这是Snooping最宝贵的“副产品”。在监听过程中它会自动学习并记录下正确的IP-MAC-端口-VLAN的对应关系形成一张DHCP Snooping 绑定表。这张表是后续很多高级安全功能如IP源防护、动态ARP检测的“花名册”是实现精准管控的基础。3. 实战配置从零部署DHCP Snooping光说不练假把式咱们直接上命令行看看怎么在思科交换机上把这位“保安队长”请上岗。我以最典型的园区网架构为例核心层有一台DHCP服务器接入层交换机下联众多用户。配置的核心思想就八个字全局启用端口设信。首先我们需要在接入层交换机用户直接连接的交换机上开启全局的DHCP Snooping功能并指定它对哪些VLAN进行监听。通常我们会对所有用户VLAN开启。Switch enable Switch# configure terminal Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 10,20,30敲下这两条命令Snooping功能就启动了默认情况下该交换机上所有的端口都变成了untrust状态。这时候如果你不进行下一步操作整个VLAN 10,20,30里的用户都将无法从DHCP服务器获取到IP地址因为服务器的回应报文全被拦截了这是我刚开始配置时踩过的一个大坑一下子接到一堆上不了网的报修电话。所以紧接着最关键的一步将连接上游可信设备通常是核心交换机或DHCP服务器本身的端口设置为trust信任端口。Switch(config)# interface GigabitEthernet 0/1 Switch(config-if)# description Link-to-Core-Switch Switch(config-if)# ip dhcp snooping trust Switch(config-if)# exit这条命令是告诉交换机“从Gi0/1口进来的DHCP服务器报文都是好人请放行。”一般来说只需要在连接上级可靠网络的端口上联口设置trust即可所有连接终端用户的端口下联口保持默认的untrust。配置到这里基础防御已经生效了。攻击者冒充的DHCP服务器如果接在用户端口上它发出的Offer和ACK报文在进入交换机时就会被丢弃。而真正的DHCP服务器从信任端口下来的报文则可以顺利到达用户。但是网络环境可能更复杂。比如如果你的网络中有DHCP中继或者需要用到Option 82功能来进行更精细化的地址分配和溯源配置就需要多一些考量。有时你会发现即使设置了trust端口某些合法设备还是拿不到地址。这很可能是因为Option 82字段在“捣鬼”。你可以选择在接入交换机上关闭插入Option 82的功能Switch(config)# no ip dhcp snooping information option或者在上游设备核心交换机上允许接收来自untrust端口的、携带Option 82的报文这需要评估安全风险Core-Switch(config)# ip dhcp snooping information option allow-untrusted4. 强化防御报文限速与端口安全联动基础的Snooping能防住“单兵作战”的欺骗但如果攻击者发起海量的DHCP请求泛洪攻击虽然这些请求最终不会获得IP但巨大的流量洪峰可能会冲垮交换机的CPU导致设备瘫痪同样造成网络中断。这就好比虽然保安能识别出坏人不让进但成千上万人同时挤向门口也能把大门挤垮。因此我们需要在用户端口上实施DHCP报文限速。这相当于给每个门口设置一个流量闸机限制每秒进入的“DHCP请求人数”。Switch(config)# interface range GigabitEthernet 0/10 - 20 Switch(config-if-range)# ip dhcp snooping limit rate 10这条命令限制了Gi0/10到Gi0/20这些接口每秒最多只能接收10个DHCP报文。超过这个速率的报文将被丢弃。这个数值需要根据实际环境调整对于普通办公用户10-20个/秒足够了对于会议室或公共区域可以适当调高。设置太低会影响正常用户快速获取IP设置太高则失去了防护意义。我一般会先观察一段时间端口的正常DHCP报文速率可以通过show ip dhcp snooping statistics命令查看再在此基础上增加一点余量来设定。然而道高一尺魔高一丈。如果攻击者使用工具使其伪造的DHCP请求中的二层MAC地址和报文内的客户端MAC始终保持一致就能绕过Snooping的一致性检查。这时我们就需要请出另一位“门神”——端口安全Port-Security。端口安全的核心功能是绑定和学习端口上允许出现的MAC地址。我们可以把它和DHCP Snooping的绑定表联动起来实现更严格的管控。具体思路是利用DHCP Snooping动态学习到的正确绑定关系来动态配置端口安全。首先确保DHCP Snooping已经正常运行并生成了绑定表。然后在用户端口上启用端口安全并指定其学习到的安全MAC地址的最大数量比如1个并设置违规后的处理动作为“关闭端口”或“仅记录日志”。Switch(config)# interface GigabitEthernet 0/15 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security violation shutdown Switch(config-if)# switchport port-security mac-address stickysticky参数是个好东西。当端口安全以sticky方式学习时它会将第一个通过该端口通信的设备的MAC地址“粘性”地记录下来并保存到运行配置中。这样这个端口就只允许这一个MAC地址的设备接入。如果攻击者换了一个MAC地址接入端口就会因违规而被shutdown。更进一步我们可以实现IP Source GuardIP源防护。这个功能直接使用DHCP Snooping绑定表作为“白名单”。它检查从用户端口进入的每一个数据包的源IP地址是否在绑定表中与该端口、该MAC对应。如果不是则丢弃该数据包。这可以有效防止攻击者在获取IP后再随意伪造其他IP地址进行攻击。Switch(config)# interface GigabitEthernet 0/15 Switch(config-if)# ip verify source port-security这条命令一上这个端口就只能发送其通过DHCP获得的那个IP地址的流量了。手动配置的静态IP或者伪造的IP其发出的数据包将无法通过该端口进入网络。我把DHCP Snooping、端口安全、IP源防护这三者称为“接入层安全铁三角”组合使用能极大地提升网络边缘的安全性。5. 应对复杂场景Option 82与中继环境在实际的中大型网络里DHCP服务器往往集中部署在核心机房而用户分布在各个楼层。这时就需要用到DHCP中继Relay Agent。中继设备通常是三层交换机负责将广播的DHCP请求转换成单播转发给远端的DHCP服务器。在这种场景下DHCP Snooping的部署位置和策略就需要仔细规划。我的经验是在接入交换机最靠近用户的交换机上启用DHCP Snooping。因为攻击最可能发生在这里。接入交换机开启Snooping后将连接中继设备即上层交换机的端口设为trust。这里Option 82的作用就凸显出来了。当中继交换机转发DHCP请求时可以插入Option 82字段记录下请求来自哪个交换机、哪个端口、哪个VLAN。DHCP服务器看到这个信息后可以做出更智能的决策比如根据不同的接入位置分配不同网段的IP地址。同时这对于网络运维也是一大福音当出现IP冲突或攻击告警时可以根据Option 82的信息迅速定位到具体的物理端口实现精准“抓捕”。但是Option 82的引入也带来了配置上的复杂性。如前所述如果接入交换机插入了Option 82而核心侧或服务器侧没有正确配置就可能导致用户无法获取地址。你需要根据你的网络设备和服务器是否支持、是否需要Option 82来统一规划配置。一个常见的部署模型是接入层交换机启用DHCP Snooping连接核心的上联口设为trust用户口为untrust。根据需求决定是否配置ip dhcp snooping information option。核心层交换机作为DHCP中继启用ip helper-address。如果接入层插入了Option 82核心层需要信任并处理这些信息或者配置allow-untrusted参数。DHCP服务器需要配置为能够识别和处理Option 82字段以便进行基于位置的地址分配。6. 运维与排错看懂绑定表与监控日志配置好了不等于一劳永逸。一个好的网络管理员一定要学会看设备的“体检报告”。对于DHCP Snooping最重要的报告就是绑定表Binding Table。使用show ip dhcp snooping binding命令你可以看到一张清晰的表格Switch# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:1A:2B:3C:4D:5E 192.168.10.101 86235 dhcp-snooping 10 GigabitEthernet0/5 00:50:56:8A:12:34 192.168.10.102 75421 dhcp-snooping 10 GigabitEthernet0/6这张表是Snooping工作的核心成果它动态记录了哪个MAC地址MacAddress通过哪个接口Interface在哪个VLANVLAN里获取了哪个IP地址IpAddress租约还剩多久Lease。这张表是IP Source Guard和动态ARP检测DAI等功能的依据。定期检查这张表如果发现一个接口下绑定了多个IP-MAC对非预期或者某个IP对应的接口突然变化很可能就有异常情况发生。其次要关注统计信息Statistics和日志Log。show ip dhcp snooping statistics可以查看各个接口丢弃和转发的DHCP报文数量。如果某个用户端口的丢弃计数异常增高很可能该端口下有设备在持续发送非法DHCP报文可能是中毒的电脑也可能是攻击测试。Switch# show ip dhcp snooping statistics Interface Trusted Discards (DHCP) Discards (Non-DHCP) ----------- ------- ----------------- -------------------- Gi0/5 No 0 0 Gi0/6 No 125 0像上面这样Gi0/6接口有大量DHCP报文被丢弃这就是一个明确的告警信号需要立刻排查连接在该端口上的设备。最后务必启用日志功能并将日志发送到统一的日志服务器。在交换机上配置Switch(config)# ip dhcp snooping vlan 10,20,30 logging Switch(config)# logging host 192.168.1.100这样当发生地址欺骗、Option 82违规、限速超阈值等事件时交换机都会生成日志。通过分析这些日志你可以回溯安全事件了解攻击模式并不断优化你的安全策略。安全防护是一个持续的过程这些日志就是你改进防线最好的情报。