DHCP安全問題及防范措施

摘 要：現代社會是一個被網絡包圍的社會，上網成為現代人的生活基本需求，網絡也成為現代企業的基本生產工具之一。在這個大背景下，有限的IP網絡地址資源分配成為制約網絡信息發展的障礙，引入DHCP（動態主機配置協議）服務成為重要的解決手段，但是DHCP協議在安全上存在的漏洞使得在使用DHCP服務器為主機配置網絡地址和參數時面臨威脅。文章對這些DHCP安全問題和防范措施進行了探討。

關鍵詞：DHCP；安全問題；防范措施

中圖分類號：TP393 文獻標識碼：A 文章編號：1006-8937（2014）8-0070-02

1 DHCP的安全問題

作為允許無盤工作站連接到網絡并使之自動獲取一個IP地址的BOOTP協議的擴展之一，DHCP（動態主機分配協議）由兩個基本部分組成，一部分是向網絡主機傳送專用的配置信息，一部分是給主機分配網絡地址。DHCP技術很好解決了IP地址匱乏的現實問題，同時還解決了移動計算機迅速獲取IP地址的技術難題，為網絡信息的發展做出了重要的貢獻。但是由于在設計DHCP時更多的考慮是網絡連接的便利性，存在一定的安全漏洞，其中主要的有以下幾種：

①DHCP在設計上不具有任何防御惡意主機的功能。隨著帶有DHCP功能家用路由器的大量使用，使用不當的話就可能將這些路由器轉變為DHCP服務器，這些所謂的DHCP服務器可能對外發布虛假網關地址、IP地址池甚至是錯誤的DNS服務器信息，如果這些非法DHCP指定的DNS服務器被蓄意修改，就有可能將用戶引導到木馬網站、虛假網站，盜竊用戶賬號和密碼，威脅用戶的信息安全。

②DHCP與客戶端相互之間沒有認證機制，自身沒有訪問控制。由于DHCP可以方便的為網絡中的新用戶配置IP地址和參數，一個非法的客戶可以通過偽裝成合法的用戶來申請IP地址和網絡參數，避開網絡安全檢查，實現“盜用服務”，導致網內信息的泄露。另外，非法用戶還可以通過“拒絕資源”攻擊的方式，例如耗盡有效地址、CPU或者網絡資源等，癱瘓蓄意攻擊的網絡。

③DHCP在安全方面僅僅提供了有限的輔助工具來對分發的IP地址進行管理和維護，不具有將地址和用戶聯合起來的復雜管理功能，使得網絡管理員無法對IP沖突或者流氓IP地址進行有效、快速的認證和網絡跟蹤。

2 防范DHCP安全問題的防范措施

DHCP安全的威脅主要有三種，一是人為的無意失誤，例如用戶賬號的無意識泄露；二是人為的惡意攻擊，例如通過主動或者被動的攻擊方式來獲取網絡信息的計算機犯罪行為等；三是網絡軟件的漏洞和“后門”。例如網絡軟件編程人員為了自便設置的“后門”被黑客察覺導致的信息泄露等。對DHCP安全問題的防范可以從以下三個方面來進行防范。

2.1 網絡入侵檢測

網絡入侵檢測（網絡實時監控）技術利用專門的網絡監控軟件或者硬件對網絡流量進行監控、分析、預警以及處理。有效的網絡入侵檢測部件通過對網絡上使用的各種網絡協議進行分析，并和自身的網絡入侵特征庫進行對比，從而發現各種網絡攻擊行為。網絡入侵檢測部件對網絡攻擊行為的側重點是發現，并不能預防，所以還存在一定的缺陷。

2.2 訪問控制

通過對用戶訪問行為的控制，可以阻止未經允許的用戶有意或者無意獲取到被保護網段內的信息和數據。訪問控制技術是網絡安全防范保護的主要技術，它通過入網訪問、網絡權限設置、目錄級以及屬性控制等手段來決定誰可以訪問系統以及系統的何種資源、對資源的使用方式等。

①入網訪問控制。入網訪問控制是網絡的第一層訪問控制。一般分為三個步驟：登陸用戶名的識別和驗證、登陸用戶的口令識別與驗證、登陸用戶賬號的缺省限制檢查。網絡管理員通過對用戶賬號的控制實現對用戶訪問特定網絡的時間、方式的權限。

②用戶網絡權限的控制。通過對用戶或者用戶組賦予一定的訪問權限，例如對網絡目錄、子目錄、文件以及其他資源的訪問，對用戶或者用戶組進行分類管理，一是特殊用戶，系統管理員；二是一般用戶，按照實際需要分配操作權限；三是審計用戶，對網絡安全控制與資源使用進行審計的賬戶。

③網絡目錄級的訪問控制。網絡通過控制用戶對目錄以及目錄下的子目錄和文件的創建、刪除、修改、存取控制等權限，達到有效控制用戶對服務器資源的訪問權限，加強網絡以及服務器的安全性。

④網絡屬性的訪問安全控制。屬性安全控制是在權限安全控制上的進一步防范措施。屬性設置可以覆蓋任何已經指定的受托著指派的有效權限。通過網絡屬性的安全控制可以保護重要目錄和文件，避免文件或者目錄的誤刪除、修改等。

⑤網絡服務器的訪問控制。主要措施是設置口令密碼對服務器控制臺進行鎖定，防止非法用戶對重要信息和數據進行修改、刪除、破壞；同時還可以設置服務器登陸的時間、方式以及服務器關閉的時間間隔。

⑥網絡的監測和鎖定控制。對于非法用戶試圖進入網絡的行為進行監測，并通過服務器發出圖形、文字以及聲音等形式的報警信息，對于非法訪問的次數達到一定值是可以對該賬號進行自動鎖定。

2.3 DHCP與客戶端的相互認證

DHCP協議在設計之初存在無法對消息和實體進行認證的缺陷，現在通過DHCP認證機制已經可以實現相互之間的認證。DHCP消息認證機制在不改變原有DHCP協議的前提下，通過增加一個DHCP消息選項碼來實現DHCP服務器與客戶端之間的認證，另外，通過在選項碼中定義不同的認證方法，使得消息認證的實用性、針對性更強，具有良好的擴展性。

在認證技術中采用的消息認證碼，又稱為MAC，它是通過假設通信雙方共享密匙，并利用這個密匙通過不同的算法來生成一個固定長度的短數據塊（MAC），發送消息的一方將消息和MAC一起發送給接收消息的一方，接收方用相同的密匙進行計算也得到一個MAC，通過兩個MAC進行比對來驗證消息的安全性。通過在DHCP服務器向客戶主機分配IP地址時增加一個檢查主機的MAC地址的過程，可以有效杜絕非法用戶使用內部DHCP服務器登陸的可能。

3 結 語

DHCP技術較好的解決了IP地址資源匱乏以及移動計算機上網的IP地址分配問題，但在方便的同時也給網絡帶來了一些安全問題。通過加強網絡入侵檢測、網絡訪問控制以及建立起DHCP服務器與客戶端之間的認證系統可以有效防范DHCP技術缺陷所可能引發的安全問題。

參考文獻：

[1] 黃菊.淺談DHCP在局域網中如何自動獲得IP地址[J].中國電子商情（科技創新），2013，（17）.

[2] 肖力.DHCP協議存在的缺點分析及優化方案研究[J].計算機光盤軟件與應用，2013，（6）.

[3] 劉乃順，張家源.DHCP服務及應用探討[J].有線電視技術，2013，（3）.