基于MNSS的醫(yī)院惡意DHCP攻擊防范方案研究及仿真

陳獻(xiàn)鵬 徐亞飛 趙強 吳響

摘要：DHCP服務(wù)是醫(yī)院網(wǎng)絡(luò)系統(tǒng)搭建過程中最為常見的方式，該方式能大大簡化網(wǎng)絡(luò)管理人員對于主機、服務(wù)器及其他應(yīng)用端的IP地址配置工作。然而DHCP服務(wù)在安全方面有較多的不足之處，比如攻擊DHCP地址池使地址池耗盡、架設(shè)假冒服務(wù)器以獲取數(shù)據(jù)等。針對這一問題，該文通過對DHCP的工作原理進(jìn)行深入研究，提出醫(yī)院惡意DHCP攻擊防范方案以提高醫(yī)院網(wǎng)絡(luò)的安全性。為驗證其有效性，使用MNSS（Medical Network System simulator）仿真軟件搭建虛擬環(huán)境，仿真實驗過程。

關(guān)鍵詞：MNSS；DHCP；虛擬仿真；網(wǎng)絡(luò)安全

中圖分類號：TN711 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）30-0013-03

Abstract： DHCP service is the most common way of building a hospital network system， which can greatly simplify the IP address configuration work for the network manager for the host， server and other applications. However， DHCP services have many shortcomings in security， such as attacking DHCP address pool， making the address pool exhausted， and setting up fake servers to get data. In order to solve this problem， this paper makes an in-depth study on the working principle of DHCP， and puts forward the prevention scheme of malicious DHCP attack in hospital to improve the security of the hospital network. In order to verify its effectiveness， MNSS （Medical Network System simulator） simulation software is used to build the virtual environment and simulate the experimental process.

Key words：MNSS； DHCP； virtual simulation； network security

1 引言

在信息化浪潮的推動下，醫(yī)院正朝著“智能”“信息”“互聯(lián)”等方向建設(shè)與發(fā)展。然而隨著醫(yī)院網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，聯(lián)網(wǎng)設(shè)備的增加與刪減給信息化管理帶來不小的壓力，尤其是醫(yī)院IP地址規(guī)劃和管理。傳統(tǒng)的手工配置模式顯然難以滿足需求，而DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）技術(shù)采用動態(tài)分配IP的方式，很大程度上解決了設(shè)備IP地址配置管理問題。

然而，DHCP協(xié)議在安全方面具有一定的缺陷。由于DHCP沒有提供有效的安全認(rèn)證，其較低的安全性將會給網(wǎng)絡(luò)系統(tǒng)帶來一些威脅，常見的有：（1）DHCP服務(wù)器遭受到DOS攻擊，地址池耗盡；（2）非法DHCP服務(wù)器提供錯誤地址。醫(yī)院網(wǎng)絡(luò)如果遭受惡意DHCP攻擊，可能會發(fā)生IP地址沖突、地址缺少而無法聯(lián)網(wǎng)的情況，給醫(yī)院造成巨大的經(jīng)濟(jì)損失與不良的社會影響，甚至可能由于非法DHCP服務(wù)器提供錯誤地址，從而導(dǎo)致醫(yī)院內(nèi)部大量患者隱私信息的泄露。因此，我們使用MNSS仿真軟件對DHCP進(jìn)行深度研究，通過模擬攻擊實驗找到相應(yīng)的解決方案，在一定程度上提高醫(yī)院網(wǎng)絡(luò)的安全性，減少不必要的人力、物力損失。

2 相關(guān)技術(shù)研究

2.1 DHCP工作原理

DHCP協(xié)議主要用于為網(wǎng)絡(luò)中的PC機動態(tài)分配IP、 Gateway及DNS等地址，其運行過程一般分為四個步驟，以四種數(shù)據(jù)包的傳送為代表。首先是客戶端廣播Discover消息，用于尋找DHCP服務(wù)器；其次，收到Discover消息的DHCP服務(wù)器會回應(yīng)Offer消息，Offer消息里包含了可以提供給客戶端的IP地址；再次，客戶端會發(fā)送Request消息，正式申請IP地址；最后，DHCP服務(wù)器在收到請求消息后會發(fā)送ACK消息，把自身地址池內(nèi)的IP地址分配給客戶端，DHCP的IP地址分配工作完成。其中，需要注意的是：（1）服務(wù)器在發(fā)送Offer消息前會在網(wǎng)絡(luò)中發(fā)送ARP消息對即將分配出去的IP地址進(jìn)行檢測，以確保該IP地址沒有被其他設(shè)備所占用，在一定程度上避免地址沖突。（2）客戶端發(fā)送Request消息是以廣播形式發(fā)送的，因為一個網(wǎng)絡(luò)中可能存在多個DHCP服務(wù)器，客戶端發(fā)送的消息里包含了自身所希望得到的IP地址，也就間接拒絕了其他的DHCP服務(wù)器。

2.2 DHCP攻擊方式

（1）DHCP地址耗盡攻擊：當(dāng)DHCP服務(wù)器收到來自主機的請求消息后，由于其一般沒有區(qū)分主機“真假”的認(rèn)證方法，因此遇到來自虛假主機的消息也會按照自身的工作模式正常進(jìn)行分配工作。如果有不法分子通過儀器或者軟件不斷地向DHCP發(fā)送包含偽造的MAC地址的請求消息，服務(wù)器就會將地址池內(nèi)的IP地址迅速分配完，而這時候正常主機在嘗試申請IP地址時就會被DHCP服務(wù)器拒絕。

（2）DHCP服務(wù)器攻擊：攻擊方可能架設(shè)一臺偽造DHCP服務(wù)器，給正常主機提供偽造的IP地址。就像服務(wù)器難以區(qū)別主機一樣，客戶端也無法區(qū)分服務(wù)器。非法服務(wù)器優(yōu)先應(yīng)答客戶端，主機就會接收到錯誤的IP地址。更有甚者，通過設(shè)置錯誤的默認(rèn)網(wǎng)關(guān)，將主機傳送的數(shù)據(jù)傳向攻擊方的設(shè)備再轉(zhuǎn)發(fā)出去，攻擊方就可以在其設(shè)備上截取到所有數(shù)據(jù)，這就牽扯到隱私信息的泄露問題。

2.3 DHCP攻擊防范措施

（1）DHCP Snooping：DHCP Snooping是DHCP的安全特性，用于保證DHCP客戶端能夠從合法的DHCP服務(wù)器處獲取IP地址，從而避免非法服務(wù)器的干擾。DHCP Snooping會將接口分為信任端口及非信任端口兩種，允許信任端口正常接收并轉(zhuǎn)發(fā)DHCP報文，而限制非信任端口。同時記錄非信任區(qū)域客戶端MAC地址、IP地址、連接服務(wù)器的端口號等信息，進(jìn)一步加強對網(wǎng)絡(luò)的監(jiān)管。

（2）Port Security：Port Security特性通過設(shè)置交換機端口承認(rèn)的MAC地址數(shù)量來達(dá)到控制服務(wù)請求端口的目的。假如交換機被設(shè)置為只承認(rèn)一個MAC地址，一旦有其他設(shè)備想通過同一端口進(jìn)行通信，就會被端口安全特性阻止。當(dāng)端口接收的MAC地址超過最大值時可以設(shè)置應(yīng)答：（1）Protect：丟棄違規(guī)數(shù)據(jù)，允許正常端口通信；（2）Restrict：警告網(wǎng)絡(luò)管理員；（3）Shutdown：關(guān)閉端口。

3 基于MNSS的醫(yī)院惡意DHCP攻擊防范方案仿真設(shè)計

3.1 實驗拓?fù)鋱D

在MNSS工作區(qū)中搭建醫(yī)院某一科室的網(wǎng)絡(luò)架構(gòu)圖，如圖1所示。SW1為三層交換機，提供DHCP服務(wù)，SW2和SW3為兩臺二層接入層交換機，下接4臺PC機模擬醫(yī)院內(nèi)網(wǎng)客戶端，PC1和PC2處于vlan 10，PC3和PC4處于vlan 20。其中PC2模擬侵入醫(yī)院網(wǎng)絡(luò)的攻擊者。

3.2 仿真設(shè)備交換網(wǎng)絡(luò)的建立

3.3 關(guān)鍵配置步驟

1） 地址池配置

SW1（config）#service dhcp

SW1（config）#ip dhcp pool V10 ！創(chuàng)建名為V10的地址池

SW1（dhcp -config）#network 192.168.1.0 255.255.255.0

SW1（dhcp -config）#default-router 192.168.1.1 ！默認(rèn)網(wǎng)關(guān)

SW1（dhcp -config）#dns-server 192.168.1.254 ！ DNS服務(wù)器地址

SW1（dhcp -config）#lease 2 ！ 設(shè)置租期

SW1（config）#service dhcp

SW1（config）#ip dhcp pool V20 ！創(chuàng)建名為V20的地址池

SW1（dhcp -config）#network 192.168.2.0 255.255.255.0

SW1（dhcp -config）#default-router 192.168.2.1 ！默認(rèn)網(wǎng)關(guān)

SW1（dhcp -config）#dns-server 192.168.2.254 ！ DNS服務(wù)器地址

SW1（dhcp -config）#lease 2 ！ 設(shè)置租期

SW1（config）#ip dhcp excludeed-address 192.168.1.100 192.168.1.255 ！設(shè)置不用于分配的IP地址

2） 在PC上開啟IP地址請求

PC1（config）#int f0/0

PC1（config-if）#ip address dhcp ！ 獲取IP地址

3） 用PC2橋接一臺裝有Ubuntu系統(tǒng)的虛擬機，進(jìn)行模擬攻擊

本文使用yersinia軟件進(jìn)行惡意DHCP模擬攻擊，通過不斷修改MAC地址，向DHCP服務(wù)器不斷發(fā)送Discover報文，以此消耗DHCP服務(wù)器地址池內(nèi)的IP地址。在虛擬機上打開yersinia，進(jìn)行模擬攻擊，如下圖所示：

一段時間以后，在SW1上使用命令“show ip dhcp server statistics”查看DHCP服務(wù)器的統(tǒng)計信息，如圖3所示。此時，服務(wù)器收到大量的請求報文，地址池也很快耗盡，當(dāng)PC1再次請求IP地址，已經(jīng)無法成功獲取。

4） 架設(shè)非法服務(wù)器

FFDHCP（config）#service dhcp

FFDHCP（config）#ip dhcp pool ff ！創(chuàng)建名為ff的地址池

FFDHCP（dhcp-config）#network 192.168.1.0 255.255.255.0

FFDHCP（dhcp-config）#default-router 192.168.1.10 ！默認(rèn)網(wǎng)關(guān)

FFDHCP（dhcp-config）#dns-server 192.168.1.254 ！ DNS服務(wù)器地址

FFDHCP（dhcp -config）#lease 2 ！ 設(shè)置租期

SW1（config）#ip dhcp excludeed-address 192.168.1.1 192.168.1.99 ！設(shè)置不用于分配的IP地址

5） PC1重新獲取IP地址，極大可能獲得非法服務(wù)器地址池內(nèi)的地址

一旦PC1獲取到非法服務(wù)器提供的地址，非法分子就可以通過修改默認(rèn)網(wǎng)關(guān)的方式，將PC1的數(shù)據(jù)流量轉(zhuǎn)發(fā)至非法主機，從而導(dǎo)致醫(yī)院隱私數(shù)據(jù)的泄露。

3.4 惡意DHCP攻擊防范方案

1） 啟用DHCP Snooping

SW2（config）#ip dhcp snooping vlan 10 ！ 在vlan10內(nèi)開啟DHCP偵聽

SW2（config）#int f0/0

SW2（config-if）#ip dhcp snooping trust ！將端口f1/0設(shè)置為信任端口

此時，發(fā)現(xiàn)PC1將無法再獲取到IP地址，因為正常DHCP服務(wù)器地址池被耗盡，而非法服務(wù)器又被“隔絕”在外。

2） 設(shè)置Port Security

SW2（config）#int range f1/0，f2/0， f3/0

SW2 （config-if-range）#switchport port-security maximum 2 ！ 將端口承認(rèn)的最大MAC地址數(shù)目設(shè)置為2

SW2 （config-if-range）#switchport port-security violation shutdown ！ 當(dāng)端口上接收到的MAC地址數(shù)目超過最大值時直接關(guān)閉端口

完成上述配置后，再進(jìn)行同樣的實驗，模擬DOS攻擊，發(fā)現(xiàn)地址池正常，可以為PC提供IP地址。

4 結(jié)語

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展在給醫(yī)院管理提供諸多便利的同時，也為醫(yī)院信息安全埋下了諸多隱患。本文使用MNSS網(wǎng)絡(luò)虛擬軟件模擬DHCP攻擊，通過在交換機上開啟偵聽功能，有效阻止外部不法分子對于醫(yī)院網(wǎng)絡(luò)的攻擊，切實保障醫(yī)院數(shù)據(jù)的安全。

參考文獻(xiàn)：

[1] 雷明彬.DHCP欺騙的防范原理及實現(xiàn)[J].商場現(xiàn)代化，2007，（521）：180-181.

[2] 高顧君.DHCP耗盡攻擊及防范[J].科技信息，2011（09）：60.

[3] 馬秀芳，李紅巖.防止DHCP攻擊方法研究[J].硅谷，2010（22）：13-14.

[4] 孫雪梅.醫(yī)院內(nèi)局域網(wǎng)IP地址管理模式分析[J].現(xiàn)代儀器，2011（06）：27-28.

【通聯(lián)編輯：代影】