DHCP欺骗攻击就是伪造真正的DHCP服务器为客户端主机分配一个错误的IP地址

接下来通过实验环境详细分析是如何伪造真正的DHCP服务器的

实验拓扑如下:

说明:
R1为真正的额DHCP服务器,R2为欺骗攻击的假的DHCP服务器,R4为客户端主机,R3后面用到在说

1.首先进入交换机上,更改连接四个路由器的接口为接入模式并开启端口加速

2.DHCP server创建地址池

3.主机开启接口的DHCP获取功能,可见此时客户端主机拿到了池塘分配的IP

这时,有一个假的DHCP server进入网络,想要欺骗此网络的客户端主机,即创建一个欺骗的地址池

接下来,来到客户端主机
客户端主机将接口关闭后开启就有可能拿到假的IP地址

  • 可见,此时客户端主机拿到了一个错误的IP地址,当然这个地址是不能上网的
解决:

1.中继设备(二/三层交换机)上将所有的接口设置为非信任接口

2.将连接真正的DHCP的服务器的接口设为信任接口

3.真正的DHCP服务器开启针对中继信息信任

4.中继设备上查看dhcp的窥探绑定,可见是真实的DHCP地址池

假的DHCP服务器将不能发送offer与ack,因为它连接的中继设备接口是非信任的,只能发送discover 与request的DHCP消息数据包

新问题:

如果此时有一个主机向中继设备发送大量的discover的DHCP消息数据包,那么就会导致中继设备的瘫痪,R3就是这样一种搞破坏的存在

解决:

中继设备上限制对所有非信任接口的发送discover的频率

这里为了实验效果明显,设置R3的发送频率为1

R3上进行DHCP请求,则会导致交换机error-disable


下面是对DHCP欺骗攻击的思维导图形式