DHCP spoofing 攻击,又叫DHCP耗竭攻击,属于DDOS攻击的一种,能够使DHCP服务器没有可分配的DHCP的地址,造成DHCP地址池枯竭。从而使网络内正常主机无可分配的IP地址。同时,黑客利用冒充的DHCP服务器,为用户分配一个经过修改的DNS服务器地址,引导至预先配置好的假的金融网站或电子商务网站,骗取用户的帐户和密码,这种攻击的危害是很大。
攻击原理:
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求,或者攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击。
由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
解决办法:
1、在交换机端口上,开启 dhcp snooping功能,对于请于mac和CHADDR中的mac进行检验,发现不一致就丢弃数据包
2、显示请求速率
3、在交换机端口上限制mac地址数量
另外,在网络中搭建DHCP服务器将可能造成2种危害
1、导致网络混乱,分配ip地址无法用
2、例如黑客利用冒充的DHCP服务器,为用户分配一个经过修改的DNS服务器地址,在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站,骗取用户的帐户和密码,这种攻击的危害是很大。
以上情况,可以通过在交换机上设置DHCP信任端口解决,对于其他非信任的交换机端口发来的dchp offer包进行丢弃。
ref:
http://www.51testing.com/?uid-238195-action-spacelist-type-blog-itemtypeid-11700
http://blog.csdn.net/lycb_gz/article/details/7548695
原文地址:http://2042617.blog.51cto.com/2032617/1599835
