如何解決無線局域網(wǎng)內(nèi)偽造DHCP 服務(wù)器攻擊
2020-10-26 02:08:42唐磊
科學(xué)技術(shù)創(chuàng)新 2020年30期
唐磊
(重慶三峽職業(yè)學(xué)院信息化建設(shè)辦公室,重慶404155)
1 概述
我校某辦公樓內(nèi)出現(xiàn)計(jì)算機(jī)使用撥號(hào)客戶端連接上網(wǎng)提示“當(dāng)前網(wǎng)絡(luò)不可達(dá),請(qǐng)稍后認(rèn)證”,無法認(rèn)證上網(wǎng)。使用ping 命令檢查網(wǎng)絡(luò)連通性,發(fā)現(xiàn)該辦公樓的網(wǎng)關(guān)地址正常連通,但獲取的DNS 地址為192.168.1.1,導(dǎo)致無法通過認(rèn)證。手動(dòng)配置計(jì)算機(jī)的IP 地址為192.168.1.250,網(wǎng)關(guān)地址為192.168.1.1,在瀏覽器中輸入http://192.168.1.1,可以訪問無線路由器的管理界面(如圖1 所示)。將計(jì)算機(jī)的DNS 地址配置為61.128.128.68,能正常認(rèn)證上網(wǎng),因此斷定網(wǎng)絡(luò)故障是由局域網(wǎng)內(nèi)接入無線路由器引發(fā)的偽造DHCP 服務(wù)器攻擊所致。
圖1 路由器管理界面
2 問題原因分析
產(chǎn)生上述問題的原因是:客戶機(jī)通過廣播方式發(fā)送DHCP請(qǐng)求尋找DHCP 服務(wù)器,DHCP 服務(wù)器接收到客戶機(jī)的IP 租約請(qǐng)求時(shí),同時(shí)提供IP 租約給客戶機(jī)。客戶機(jī)收到IP 租約時(shí),同時(shí)發(fā)送DHCPREQUEST 消息。當(dāng)DHCP 服務(wù)器收到消息后,同時(shí)完成DHCP 分配。由于局域網(wǎng)中同時(shí)存在多個(gè)DHCP 服務(wù)器,所有DHCP 服務(wù)器都收到計(jì)算機(jī)發(fā)送的DHCP 請(qǐng)求,互相爭(zhēng)奪DHCP 提供權(quán),導(dǎo)致計(jì)算機(jī)獲取到偽裝DHCP 服務(wù)器的IP地址,從而無法上網(wǎng)。
3 解決方法
對(duì)于偽造DHCP 服務(wù)器,本文采用的解決方法步驟如下:
第一步:在故障電腦上命令提示符中輸入arp -a 命令,在出現(xiàn)的IP 地址與物理地址列表信息中,查找到IP 地址192.168.1.1 的物理地址為be-5f-f6-01-a8-12,此物理地址為路由器所對(duì)應(yīng)的硬件MAC 地址。如圖2 所示。
第二步:使用telnet 命令登錄AC,通過display wlan client |in be5f-f601-a812 命令查看該無線路由器接入的AP,命令執(zhí)行如下:
再次使用命令 display wlan ap all address | in e-4f-410-sh,可知該無線路由器通過名稱為e-4f-410-shiwai 的AP 接入,該AP 的物理地址為1cab-34c5-c340。
圖2 ARP 緩存列表
第三步:使用telnet 命令登錄到E 棟的匯聚交換機(jī),通過display mac-address 1cab-34c5-c340 命令查看該AP 的MAC 地址表項(xiàng),命令執(zhí)行情況如下:
從命令執(zhí)行情況可知,該AP 的MAC 地址所對(duì)應(yīng)的交換機(jī)端口號(hào)為GE1/0/18。因?yàn)榻粨Q機(jī)在收到數(shù)據(jù)幀后,首先記錄其源MAC 地址和對(duì)應(yīng)接口到MAC 表中,然后會(huì)檢查自己的MAC表中是否有數(shù)據(jù)幀中目標(biāo)MAC 地址的信息,通過該原理可找到該AP 所對(duì)應(yīng)的交換機(jī)端口。
第四步:通過shutdown 命令關(guān)閉GE1/0/18 端口,將無線路由器接入的AP 與內(nèi)網(wǎng)通信阻斷。要想從根本上解決無線局域網(wǎng)內(nèi)偽造DHCP 服務(wù)器攻擊,則要在交換機(jī)中開啟DHCP Snooping 功能。為防止非法DHCP 服務(wù)的問題,DHCP Snooping把端口分為兩種類型,TRUST 端口和UNTRUST 端口,設(shè)備只轉(zhuǎn)發(fā)TRUST 端口收到的DHCP 應(yīng)答報(bào)文,丟棄所有來自UNTRUST 端口的應(yīng)答報(bào)文,實(shí)現(xiàn)對(duì)偽造DHCP 服務(wù)器的屏蔽。配置命令如下:
匯聚交換機(jī):
其它接入端口(上聯(lián)口除外)配置方法同上。
接入交換機(jī):
其它接入端口(上聯(lián)口除外)配置方法同上。
4 結(jié)論
通過在交換機(jī)中配置DHCP Snooping 后,已解決了局域網(wǎng)內(nèi)偽造DHCP 服務(wù)器攻擊的問題。偽造DHCP 服務(wù)器攻擊是網(wǎng)絡(luò)常見故障之一。如果交換機(jī)不支持DHCP Snooping 功能,還可通過其他的方法如端口隔離、接入層ACL 和接入認(rèn)證來進(jìn)行防范。
