為了提高網(wǎng)絡(luò)地址的管理效率，相信很多網(wǎng)絡(luò)管理員都會在單位設(shè)置DHCP服務(wù)器，通過人工方式將網(wǎng)絡(luò)上的參數(shù)分發(fā)給網(wǎng)絡(luò)客戶端系統(tǒng)。 在環(huán)境中，DHCP服務(wù)器的安全工作將直接影響到整個(gè)網(wǎng)絡(luò)的安全。 在網(wǎng)絡(luò)管理實(shí)踐中，經(jīng)常會同時(shí)遇到很多局域網(wǎng)的DHCP服務(wù)器。 一旦出現(xiàn)這種現(xiàn)象，可能會造成資源沖突，最終導(dǎo)致局域網(wǎng)的安全穩(wěn)定運(yùn)行。 為了維護(hù)局域網(wǎng)運(yùn)行的安全，我們可以嘗試使用DHCP監(jiān)控技術(shù)來監(jiān)控DHCP服務(wù)器的安全，消除內(nèi)部網(wǎng)絡(luò)中的安全隱患。

安全維修理念

對于DHCP服務(wù)器來說，DHCP 技術(shù)實(shí)際上是一種過濾DHCP報(bào)文的技術(shù)。 通過在核心交換機(jī)上開啟DHCP的局域網(wǎng)監(jiān)控功能，使局域網(wǎng)內(nèi)的重要主機(jī)或網(wǎng)絡(luò)設(shè)備無法信任過濾DHCP報(bào)文，保證客戶端系統(tǒng)只能通過網(wǎng)絡(luò)從非常授權(quán)的信任DHCP服務(wù)器獲取管理員參數(shù)， DHCP服務(wù)器干擾不受信任的DHCP服務(wù)器是可以信任的； 從而保證了局域網(wǎng)的安全穩(wěn)定運(yùn)行。 比如過去只能信任局域網(wǎng)的DHCP服務(wù)器。 當(dāng)用戶不注意復(fù)制服務(wù)器接入網(wǎng)絡(luò)的DHCP服務(wù)功能時(shí)，復(fù)制服務(wù)器的無線DHCP服務(wù)器會波動為不可信的。 當(dāng)本地網(wǎng)絡(luò)有兩臺DHCP服務(wù)器時(shí)，客戶端系統(tǒng)常用的訪問參數(shù)是哪臺DHCP服務(wù)器？ 為了保證客戶端系統(tǒng)能夠獲取到合法的參數(shù)，只要開啟DHCP交換機(jī)上的竊聽功能，普通客戶端系統(tǒng)就會忽略復(fù)制服務(wù)器的存在。 , 并將手動應(yīng)用于受信任的 DHCP 服務(wù)器訪問參數(shù)。

與DHCP竊聽功能配合使用時(shí)，交換機(jī)只允許客戶端發(fā)送DHCP請求，并且會提供類似的DHCP報(bào)文來響應(yīng)手動放棄，所以普通客戶端系統(tǒng)只能訪問參數(shù)有效合法的DHCP服務(wù)器； 事實(shí)上，非法的DHCP服務(wù)器可以訪問響應(yīng)客戶端系統(tǒng)的請求，但是DHCP竊聽功能手動丟棄非法DHCP服務(wù)器提供的響應(yīng)消息，然后客戶端系統(tǒng)對非法DHCP服務(wù)器的響應(yīng)消息是不可接受的。 據(jù)悉，通過DHCP竊聽功能，有機(jī)會在局域網(wǎng)內(nèi)交換DHCP報(bào)文，對DHCP報(bào)文手動識別可信和不可信的DHCP報(bào)文，從防火墻、網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)管理員授權(quán)的DHCP服務(wù)器獲取DHCP報(bào)文. DHCP竊聽功能會人工將一條DHCP報(bào)文識別為不可信，同時(shí)丟棄該報(bào)文。 之后，未經(jīng)授權(quán)的不受信任的DHCP服務(wù)器將不會影響局域網(wǎng)的安全運(yùn)行。

安全維護(hù)范圍

DHCP竊聽技術(shù)是在局域網(wǎng)的安全運(yùn)行中受到DHCP服務(wù)器的保護(hù)，主要是通過對數(shù)據(jù)包的過濾，DHCP服務(wù)器識別可信端口或不可信端口，并允許正常端口從不可信端口發(fā)送和接收的機(jī)會可信的信息交換。 數(shù)據(jù)端口消息交換沒有響應(yīng)。 具體來說，DHCP安全檢測技術(shù)的業(yè)務(wù)范圍主要表現(xiàn)在以下幾個(gè)方面：

1.避免地址沖突

DHCP竊聽技術(shù)避免了不受信任的DHCP服務(wù)器的干擾，通過受信任的DHCP服務(wù)器的地址沖突穩(wěn)定工作。 在網(wǎng)絡(luò)管理實(shí)踐中，我們經(jīng)常發(fā)現(xiàn)同一個(gè)子網(wǎng)中可能存在多個(gè)DHCP服務(wù)器，有的是網(wǎng)絡(luò)管理員專門安裝的，有的是不小心踩入網(wǎng)絡(luò)的，比如ADSL撥號. 該設(shè)備可能具有外部 DHCP 服務(wù)功能。 設(shè)備連接到 LAN 后，外部 DHCP 服務(wù)器會手動為客戶端系統(tǒng)分配 IP 地址。 此時(shí)網(wǎng)絡(luò)管理員授權(quán)合法的DHCP服務(wù)器會與ADSL撥號設(shè)備的DHCP服務(wù)器產(chǎn)生地址沖突，可能威脅到網(wǎng)絡(luò)的安全。 這些威脅通常更加隱蔽，并且有一半時(shí)間會被忽視。 一旦使用了DHCP竊聽技術(shù)，我們可以在核心交換機(jī)后臺系統(tǒng)的局域網(wǎng)中更改IP源參數(shù)綁定表，為每個(gè)端口綁定該表以接受網(wǎng)絡(luò)包過濾和測量標(biāo)準(zhǔn)服務(wù)器運(yùn)維外包，并且不會發(fā)送授權(quán)給DHCP服務(wù)器 根據(jù)PA數(shù)量手動過濾，有效避免非法DHCP服務(wù)器引起的地址沖突。

2.避免DoS攻擊

要知道，一些非常狡猾的攻擊者經(jīng)常使用單獨(dú)的主機(jī)系統(tǒng)進(jìn)行 DoS 攻擊來攻擊局域網(wǎng)或互聯(lián)網(wǎng)； 如果不幸發(fā)生DoS攻擊，系統(tǒng)資源局域網(wǎng)或重要主機(jī)寶貴的帶寬資源也會被迅速攻擊。 消耗，從網(wǎng)絡(luò)傳輸速度慢或反應(yīng)遲鈍，到嚴(yán)重的截癱。 如果采用核心交換機(jī)上的DHCP監(jiān)控技術(shù)，局域網(wǎng)可以有效抵御DoS攻擊。 DoS攻擊主要用于影響局域網(wǎng)或主機(jī)系統(tǒng)的連接請求，消耗帶寬資源和系統(tǒng)資源。 它只是一個(gè)具有DHCP竊聽技術(shù)的限速功能信息，利用我們可以允許數(shù)據(jù)包流量的二次數(shù)據(jù)的功能，它的C達(dá)到了攻擊Dos的目的。

3、及時(shí)發(fā)現(xiàn)隱患

要知道，默認(rèn)情況下，核心交換機(jī)會手動攔截DHCP報(bào)文的二層VLAN域，具體來說，就是在客戶端對DHCP服務(wù)器的交換機(jī)框的 Agent 選項(xiàng)的訪問請求被選中之前，它會手動插入一個(gè) tag， 模塊、MAC地址、VLAN號等信息放入上網(wǎng)請求包中。 此時(shí)如果結(jié)合接口跟蹤功能，DHCP竊聽技術(shù)可以不受網(wǎng)間訪問單元局域網(wǎng)的限制，手動跟蹤DHCP服務(wù)器地址池中的所有地址，從而檢測出一些安全隱患在 LAN 中并保護(hù)它們。 該作用還可以對跨網(wǎng)關(guān)的DHCP服務(wù)器的安全起到一定的作用。

4.控制未授權(quán)訪問

由于任何一種方式的數(shù)據(jù)包都是通過交換端口發(fā)送和接收的，因此交換端口實(shí)際上是一種與DHCP 的功效密切相關(guān)的工作狀態(tài)。 一般來說，我們會設(shè)置交換機(jī)端口，授權(quán)DHCP服務(wù)器的網(wǎng)絡(luò)管理員監(jiān)控信任端口的DHCP授權(quán)，或者設(shè)置上游端口分布層交換機(jī)之間的DHCP監(jiān)控信任端口，端口信任到make it 所有交換機(jī)將只允許合法的DHCP服務(wù)器響應(yīng)客戶端系統(tǒng)訪問請求，非法的DHCP服務(wù)器很難發(fā)送或接收DHCP局域網(wǎng)數(shù)據(jù)包。 顯然，這些技術(shù)可以控制非法DHCP服務(wù)器對單位局域網(wǎng)的訪問。

安全維護(hù)配置

為了有效地使用DHCP竊聽功能來保證局域網(wǎng)的行車安全，我們需要正確配置該功能，這樣才能根據(jù)實(shí)際的安全性運(yùn)行需要的工作。 由于DHCP竊聽功能主要是根據(jù)信任關(guān)系建立端口來達(dá)到數(shù)據(jù)過濾的目的，所以我們需要注意交換機(jī)端口信任端口和交換機(jī)端口是不信任端口。 具體來說，我們需要進(jìn)行如下的交換機(jī)安全配置操作：

1.信任分配

這些配置主要是為了為合法的 DHCP 服務(wù)器啟用受信任的交換機(jī)端口，或者在分布層和接入層交換機(jī)之間啟用受信任的互連端口。 如果沒有對上述重要端口進(jìn)行可信配置，正常的客戶端系統(tǒng)將難以從DHCP服務(wù)器獲取合法有效的網(wǎng)絡(luò)參數(shù)。 實(shí)際上，為了防止私人普通員工搭建DHCP服務(wù)器，威脅合法DHCP服務(wù)器的安全運(yùn)行，這是我們普通客戶系統(tǒng)必備的交換端口連接。 設(shè)置一個(gè)不受信任的端口，然后交換機(jī)將客戶的響應(yīng)消息提供給系統(tǒng)。 如果手動丟棄，則局域網(wǎng)中的其他客戶端系統(tǒng)不知道這是非法DHCP服務(wù)器的問題。

2.限速配置

為了避免DoS攻擊，我們需要速度和DHCP的特性來開發(fā)郵件監(jiān)控功能，通過攻擊特性來防止持續(xù)數(shù)據(jù)和大流量，保證寶貴的帶寬資源不被快速消耗，從而維護(hù)郵件的安全運(yùn)行。局域網(wǎng)。 很多時(shí)候，網(wǎng)絡(luò)管理員會在局域網(wǎng)上部署，例如DOS保護(hù)工具。 但從安全防護(hù)的實(shí)踐來看，我們還是建議您開啟DHCP監(jiān)控技術(shù)，要求限速功能。 啟用該功能后，我們只需要執(zhí)行限制速率即可； x命令，x限制具體的標(biāo)準(zhǔn)速率，其值 計(jì)算單元局域網(wǎng)的實(shí)際需要根據(jù)網(wǎng)絡(luò)管理員配置。

3.代理配置

當(dāng)局域網(wǎng)有多個(gè)VLAN時(shí)，我們必須開啟中間代理信息選項(xiàng)的開關(guān)，也就是開啟82選項(xiàng)服務(wù)器運(yùn)維外包，保證DHCP攔截功能提供跨網(wǎng)關(guān)的安全保護(hù)服務(wù)。 當(dāng) agent info選項(xiàng)開啟DHCP 時(shí)，只需要執(zhí)行 info命令即可。