DHCP安全問題及其防范措施

摘 要：Dynamic Host Configuration Protocol，簡稱DHCP，是用UDP協(xié)議工作的局域網(wǎng)網(wǎng)絡協(xié)議。DHCP的應用使我們的信息交流變得更加簡單快捷，但協(xié)議的安全問題很容易被忽視，經(jīng)常出現(xiàn)非法用戶利用DHCP漏洞實施網(wǎng)絡攻擊和詐騙等。隨著人們進行網(wǎng)上電子平臺交易頻率的增加，這一問題變得更加嚴峻，本文就DHCP出現(xiàn)頻率較高的安全問題進行了分析和闡述，并提出了相關的防護措施，希望能為人們提供一個安全的網(wǎng)絡環(huán)境。

關鍵詞：DHCP；安全問題；防護措施

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-7712 （2014） 14-0000-01

人們在使用計算機處理問題過進行網(wǎng)絡交易的時候最關心的就是網(wǎng)絡的安全問題。對網(wǎng)絡安全構成威脅的因素有很多，DHCP的應用不當就很容易威脅人們的正常上網(wǎng)行為。DHCP的便捷性使其在很短的時間內(nèi)就被廣泛推廣應用，但由于身份認證機制的不健全等問題也使其成為易受攻擊的目標之一。

一、DHCP的功能及原理

（一）DHCP功能。在DHCP位出現(xiàn)之前，關于主機的IP地址分配需要手動輸入，并輸入相關的子網(wǎng)掩碼，但手工輸入較繁瑣而且容易出現(xiàn)問題，因而人們研究出了利用DHCP協(xié)議進行動態(tài)網(wǎng)絡地址分配的工作方式，動態(tài)IP地址分配就避免了單個IP分配到多臺機器的沖突，方便了IP地址的管理并節(jié)約了IP資源，給人們的網(wǎng)絡生活帶來了極大的便利。

（二）DHCP工作原理。當你想加入某一網(wǎng)絡時，必須得到服務器分發(fā)給你的一個IP地址才行，IP地址的獲得是自動的，當你加入某一網(wǎng)絡的時候就會想DHCP服務器發(fā)送DHCP discover廣播，DHCP服務器接收到你的廣播后會回饋給你一個空閑IP，封裝在DHCP offer內(nèi)，這里邊還包括TCP/IP設定和你的MAC信息。當你接收到最先到達的offer后，便會將你已經(jīng)成功獲得IP的信息通過request廣播告知其他DHCP服務器，這種方式使得IP地址的分配簡潔合理，避免了IP地址的重復使用。

二、DHCP面臨的威脅分析

在我們對DHCP工作原理進行分析后發(fā)現(xiàn)，客戶端向服務器發(fā)送的discover請求沒有經(jīng)過任何安全性的檢測，而且回饋IP地址的DHCP服務器我們也不能保證是否合法，這就給DHCP的正常工作構成了嚴重的威脅，具體來說如下，

（一）DHCP本身的缺陷。DHCP是一種很便捷的IP地址管理協(xié)議，但其完善性和安全性仍舊值得商榷。為了享受DHCP服務帶來的便利，往往忽視了這些缺陷，比如IP地址分發(fā)后就喪失了對地址和用戶的管理權限，而且只是在IP地址過期后才會將其收回，根本沒有自動詢問用戶是否繼續(xù)使用此IP的智能化功能。

（二）非法DHCP服務器。非法DHCP服務器造成的危害很嚴重，會改變用戶上網(wǎng)操作的結果，將用戶帶入非法網(wǎng)站或虛假網(wǎng)絡交易平臺，給用戶的財產(chǎn)造成損失。這種情況大都是路由器下聯(lián)交換機引起的，這種連接模式下路由器充當了DHCP服務器的作用，進行IP地址的分配工作。這種情況出現(xiàn)在校園網(wǎng)時，由于路由器分發(fā)的非法DHCP配置信息傳播較快，會導致大量用戶無法正常使用網(wǎng)絡。

（三）用戶私自修改IP導致地址沖突或網(wǎng)絡穩(wěn)定性降低。在DHCP服務器為用戶指定IP地址和Mac地址后，用戶私自修改這兩項，都可能造成系統(tǒng)內(nèi)IP地址沖突。因為系統(tǒng)根本不能察覺修改后的地址，無法掌握此地址是否在使用，在接收到用戶的discover信息后很可能將用戶私自修改的地址分配出去從而造成IP地址的沖突，嚴重的還會使DHCP系統(tǒng)紊亂，影響網(wǎng)絡的穩(wěn)定性。

（四）DHCP FLOOD。其實是一種基于dos的攻擊手段。攻擊者非法模擬出大量用戶群向DHCP服務器發(fā)送discover封裝報來索取大量的IP地址，耗盡服務器的IP地址后他人便不能正常上網(wǎng)。也有惡意的攻擊者是通過向服務器大量發(fā)送request數(shù)據(jù)包，干擾服務器的正常運行，使永遠無法正常申請到IP地址。

三、提高DHCP安全性的方法

關于提高DHCP安全性的方法，有些行之有效的方法主要有：（1）網(wǎng)絡監(jiān)聽軟件snort的運用。利用snort這種入侵檢測軟件，在軟件中增加DHCP報文的預處理和檢測模塊可以很好的發(fā)現(xiàn)并定位非法DHCP服務器和客戶端的存在。通過這些信息的反饋能起到很好的預警作用，并且可以手動的將這些接入端口關閉，將非法DHCP服務器隔離開來。但值得注意的是必須每個網(wǎng)段都安裝snort探針才行發(fā)揮作用，這也是它的局限性所在；（2）配置IP DHCP Snooping以防范DHCP偽服務器。DHCP Snooping 技術可以通過對非信任DHCP消息的過濾來確保從合法DHCP服務器獲得IP從而實現(xiàn)安全上網(wǎng)的一種技術。首先要建立DHCP Snooping Binding數(shù)據(jù)庫，將合法的DHCP服務器設定為受信任端口，并將IP DHCP Snooping部署在二層交換機上。完成這些部署后再將上聯(lián)端口設定為trust，下聯(lián)端口設定為untrust，保證用戶能正常接收IP四肢以及合法DHCP報文的正常轉(zhuǎn)發(fā)；（3）DHCP防火墻。關于DHCP防火墻的建立并不是很容易，因為Iptables并不能過濾raw socket 格式的DHCP報文，也就無法實現(xiàn)有段DHCP信息的篩選，DHCP報文在Iptables起作用前就已經(jīng)交由DHCP程序處理了?？梢栽贒HCP服務器前串接類似于DHCP Snooping相關功能的防火墻，能對一些基于DoS的攻擊起到一定的阻礙作用，但也不能很好的處理IP地址沖突和非法DHCP服務器等問題；（4）提高人們關于DHCP的安全意識。

四、結束語

DHCP的出現(xiàn)時為了減輕網(wǎng)絡管理員手動分配IP地址的痛苦并盡量減少網(wǎng)絡故障的發(fā)生，但由于其本身的缺陷和人為的不當操作，很容易被非法人員利用，威脅我們的網(wǎng)絡環(huán)境。通過不懈的努力，DHCP服務器使用的安全性方面已經(jīng)得到了很好的改善，但要從根本上解決DHCP安全方面的問題還必須從提高使用者安全意識方面入手，并加快研發(fā)安全的DHCP協(xié)議，為人們的安全便捷上網(wǎng)提供安全保障。

參考文獻：

[1]夏滌塵.淺議計算機網(wǎng)絡安全技術[J].科技信息，2008（29）.