问题描述
攻击者持续大量地向 DHCP Server 申请 IP 地址,直到耗尽 DHCP Server 地址池中的 IP 地址,导致 DHCP Server 不能给正常的用户进行分配;
原因分析
DHCP Server 向 DHCP Client 分配 IP 地址时,无法区分正常的申请者与恶意的申请者;
/3_Packet_Forwarding_(Routing,_L3)/2.NETWORK-LAYER-3-PROTOCOLS/DHCP_(Dynamic_Host_Configuration_Protocol)/5.Vulnerability_Protection/Starvation_Attack/pasted_image.png)
解决方案
防止通过变换 MAC 地址,来大量发送 DHCP 请求
通过 DHCP Snooping 的 MAC 地址限制功能,来防止饿死攻击
该功能通过限制交换机 Interface 上允许学习到的最多 MAC-ADDR 数目,这样攻击者便无法通过修改 MAC-ADDR 来发送大量 DHCP 请求;
/3_Packet_Forwarding_(Routing,_L3)/2.NETWORK-LAYER-3-PROTOCOLS/DHCP_(Dynamic_Host_Configuration_Protocol)/5.Vulnerability_Protection/Starvation_Attack/pasted_image001.png)
通过 dhcp snooping max-user-number 命令
防止通过改变 CHADDR 值的 DoS 攻击
攻击原理:DHCP 是根据 CHADDR 进行地址分配的,所以攻击者能够通过修改 CHADDR 来发送饿死工具,而不需要修改 SRC-ADDR;
防护原理:为了避免受到攻击者改变 CHADDR 值的攻击,可以在设备上配置 DHCP Snooping 功能,检查 DHCP-Request.CHADDR 字段。如果该字段跟数据帧头部的 SRC-MAC 相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务;
如果要在某端口下实施源 MAC 地址与 CHADDR 的一致性检查,可以使用:[Interface] dhcp snooping check dhcp-chaddr enable