房产网站模板山东省住房和城乡建设局网站

当前位置： 首页 > news >正文

房产网站模板,山东省住房和城乡建设局网站,小兔自助建站系统,wordpress响应式企业主题目录 DHCP饿死攻击 DHCP Sever仿冒攻击 DHCP攻击防范 DHCP动态主机配置协议#xff0c;是给主机提供自动获取IP地址等配置信息的服务。在主机对DHCP服务器发送DHCP Discover请求之后#xff0c;服务器回复offer#xff0c;主机再回复request#xff0c;最后服务器回复AC…目录 DHCP饿死攻击 DHCP Sever仿冒攻击 DHCP攻击防范 DHCP动态主机配置协议是给主机提供自动获取IP地址等配置信息的服务。在主机对DHCP服务器发送DHCP Discover请求之后服务器回复offer主机再回复request最后服务器回复ACK确认。但是就是在这四次的交互过程中就容易受到网络的攻击。 在实际网络中针对DHCP的攻击行为主要有DHCP饿死攻击DHCP Sever仿冒攻击。 DHCP饿死攻击 DHCP饿死攻击是DOS攻击的一种方式目的是通过发送大量的DHCP Discover请求去耗尽DHCP地址池里面的地址在地址池耗尽的时候DHCP服务器会采取不回答或者回复0.0.0.0的方式表达地址耗尽使得DHCP Sever不能给主机提供服务。 在同一个主机向DHCP服务器请求IP地址的时候在已经获得IP地址第二次请求的情况下DHCP服务器向主机回复有同样地址的offer。在服务器第一次给主机分配IP地址时服务器会记录IP地址和主机的client hardware address主机的mac地址意思是记录下这个IP地址分配给哪个MAC地址了这个记录就叫CHDDR封装在DHCP数据包里面在主机向DHCP服务器发送discover的时候主机的MAC地址会写在CHDDR里面记录在DHCPdiscover发送出去。再主机第二次发送discover请求的时候DHCP服务器就会知道discover请求里面的CHDDR记录的MAC地址说我以前给这个主机分配过IP地址分配的IP地址是192.168.1.1假设现在他请求我我给他回offer分配的IP还是192.168.1.1。同样的主机同样的MAC地址给DHCP服务器发送DHCPdiscover请求他收到DHCP分配的IP地址是一样即offer里的IP地址是一样的也就是说要实现DHCP的饿死攻击就必须要修改不通的MAC地址然后发送DHCPdiscover请求才能耗尽DHCP地址池里面的地址。 按拓扑结构完成接口的IP信息配置用路由器来充当DHCP服务器。 命令[DHCP-Sever]dhcp enable在系统视图下开启DHCP服务 命令[DHCP-Sever]int g0/0/1 命令[DHCP-Sever-GigabitEthernet0/0/1]dhcp select interface在接口模式下开启接口的IP地址池 命令[DHCP-Sever-GigabitEthernet0/0/1]display ip pool查看地址池的简要信息 查看地址池的名称网关、掩码还有数量13 命令[DHCP-Sever]display ip pool interface GigabitEthernet0/0/0/1 all查看IP地址池在接口下名字是GigabitEthernet0/0/0/1地址池的信息在系统视图下查看地址池的信息IP地址的范围是在100.1到100.14,还可以看到IP地址的分配情况 现在测试同一个主机多次发送DHCP请求在路由器上抓包有四次DHCP交互申请分配IP地址和三次免费ARP询问是否有谁用这个IP地址没有回复则可以使用。在offer的回包中分配的IP地址是100.14在主机上查看是192.168.100.14 开始第二次DHCPdiscover请求第二次回包数据和分配的IP地址还是192.168.100.14 DHCP服务器绑定DHCPdiscover消息中CHADDR会有主机的MAC地址信息记录的MAC地址信息就会记录到DHCP服务器中下次再收到同样的请求时会根据记录分配同样的IP地址。 DHCP服务器是通过DHCP消息内部的CHADDR来进行记录和绑定IP和MAC地址信息的不通过数据包以太网Ⅱ的MAC地址进行绑定。这是因为在由许多主机连接的网络中他并不是直接和DHCP服务器进行连接的他是与多个中继进行连接路由转发协议在跨子网转发的时候经过路由转发路由交换其数据包里面的源MAC地址就会发生改变变成路由器中继的MAC地址但是记录在DHCP消息中的CHADDR的数据不会改变。 攻击模拟的拓扑结构 如果需要进行DHCP饿死攻击就必须不断伪造不同的CHADDR地址的DHCPdiscover消息来获取IP地址。 可以利用kali虚拟机进行模拟攻击利用在kali安装好的软件进行模拟攻击。在攻击之前先除去主机原先申请的IP地址除去DHCP服务器上的绑定信息通过关闭和重启地址池的方式来实现。 命令[DHCP-Sever-GigabitEthernet0/0/1]undo dhcp select interface关闭接口的地址池 命令[DHCP-Sever-GigabitEthernet0/0/1]dhcp select interface打开接口的地址池 命令[DHCP-Sever-GigabitEthernet0/0/1]display ip pool interface GigabitEthernet0/0/0/1查看地址池的分配情况地址池的地址清除完毕 用kali虚拟机进行模拟DHCP饿死攻击看到攻击过程获取到192.168.100.14到192.168.100.2的IP地址 再查看一下DHCP服务器的记录表可以看到IP地址被占用了饿死攻击成功 对DHCP服务器的0/0/1口进行数据抓包抓包在攻击之前清楚地址池的信息之后就已经开始我们看数据包知道是DHCP的四部交互每一次交互完成其分配到的IP地址就不一样第一个discover请求他的网卡地址是82d0是攻击机的网卡地址下面的是CHADDR地址60f4第二个discover请求他的以太网Ⅱ地址还是82d0,但是他的CHADDR地址变为了fc5b。再看DHCP服务器里面的记录表表中192.18.100.14记录的MAC地址是60f4192.168.100.13记录的是fc5b这和discover中的CHADDR地址是一致的可以说明DHCP服务器的地址绑定看的是CHADDR中的MAC地址信息和以太网Ⅱ的地址信息无关。 现在DHCP服务器的地址池里面已经没有地址下面用主机向DHCP服务器发送请求地址请求后查看主机 IP地址发现没有配置到地址。DHCP饿死攻击成功。 DHCP Sever仿冒攻击 DHCP饿死攻击的作用当攻击者耗尽了DHCP服务器地址池中的IP地址之后攻击者可以将自己变成仿冒的DHCP服务器向主机发送 IP地址伪造假的网关地址伪造假的域名地址诱骗主机将自己的数据转发到攻击机上。这就是DHCP的Sever仿冒攻击。 用Kali伪造一个DHCPsever对主机进行模拟攻击 发起攻击后用主机获去DHCP服务器的IP地址​​​​​​​可以看到获取的是再kali模拟攻击里面自己仿冒的DHCP服务器配置的地址。去看他的数据包就有一个DHCP四部交互的过程0.0.0.0的广播地址还有192.168.11.100的回包地址说明是攻击机的回报然后打开ACK的回包ACK回包中给主机配置了IP地址是192.168.11.210记录了主机的MAC地址是74ee是主机自己的MAC地址配置了DHCP服务器的IP地址192.168.11.100配置了IP地址的续租时间配置了掩码配置了路由器地址192.168.11.100配置了域名服务器地址DNSserver192.168.11.100还配置了域名名字huawei.com。都是按照在kali攻击里面部署的去配置证明服务器仿冒攻击成功。 DHCP攻击防范 DHCP snoopingDHCP流量监听。在主机向DHCP申请discover消息的时候会广播消息在交换机开启了DHCP snooping之后交换机会对DHCP消息转发到正确的DHCP服务器的接口上对于连接DHCP服务器的端口需要设置一个信任端口允许DHCP的流量从这里转发出去而没有设置信任度端口的DHCP流量就不能转发出去让DHCP服务器能收到discover请求能给主机提供服务让攻击者不能收到DHCP请求不能截获主机的流量信息。 在攻击之前先将主机配置成手动获取IP地址然后清除DHCP服务器地址池的信息 命令[DHCP-Sever-GigabitEthernet0/0/1]undo dhcp select interface关闭接口地址池 命令[DHCP-Sever-GigabitEthernet0/0/1]dhcp select interface开启接口地址池 命令[DHCP-Sever-GigabitEthernet0/0/1]display ip pool interface GigabitEthernet0/0/0/ 1 all查看地址池的信息地址池信息为空地址池清楚完毕。 首先先把DHCP服务器的g0/0/1口的DHCP服务禁用对交换机的g0/0/3口抓包然后开启交换机DHCPsnooping的功能 命令[SW1]dhcp enable首先开启交换机的DHCP功能 命令[SW1]dhcp snooping enable再开启DHCPsnooping功能 命令[SW1]vlan 1 命令[SW1-vlan1]dhcp snooping enable再在vlan下面开启DHCPsnooping功能 命令[SW1-vlan1]dhcp snooping trusted interface g0/0/2设置交换机的g0/0/2为信任端口 用主机申请DHCP在DHCP服务器上收到了DHCP的discover请求但是没有回复是因为关闭了DHCP服务器的功能在攻击机上没有收到discover的信息请求说明只有被DHCPsnooping信任的端口才可以转发DHCP消息。 添加信任端口可以防范DHCP服务器伪造攻击。 把DHCP服务器的DHCP接口服务打开在让主机重新获取DHCP服务器里面的IP地址成功在DHCP服务器上获取到地址。 DHCP饿死攻击防范。在使用饿死攻击的话需要伪造不同的CHADDR地址的DHCPdiscover消息来获取地址但是在每次发送消息的时候数据包中的以太网Ⅱ的MAC地址是不变的。在开启DHCPsnoopingDHCP流量监听后收到DHCP discover消息后会对DHCPdiscover判断判断以太网Ⅱ的源MAC地址和DHCP报文中的CHADDR是否相同如果不同就认为是伪造消息。这时开启DHCPcheck功能对伪造的信息进行丢弃。需要注意的是DHCPsnooping只能进行监听丢弃的动作还需要DHCPcheck去执行。 开启接口的DHCPcheck 命令[SW1]port-group 1创建一个接口组组号为1 命令[SW1-port-group-1]group-member GigabitEthernet 0/0/1 to g0/0/24定义接口组的成员 命令[SW1-port-group-1]dhcp snooping check dhcp-chaddr enable给接口打开DHCPcheck功能 然后用kali模拟饿死攻击​​​​​​​这个时候攻击没反应就拿不到地址查看交换机g0/0/3口的数据还是有discover请求发出证明攻击存在但是应为discover每一个CHADDR地址和以太网Ⅱ的源MAC地址不一样数据被DHCPcheck舍弃这是第一个discover攻击请求的信息这是第二个discover攻击请求的信息 他们的CHADDR地址和以太网Ⅱ的源MAC地址都不一样不一样的话就被DHCPsnooping认为是攻击信息然后被DHCPcheck丢弃discover信息。再回到地址池查看地址的配置情况确实是没有分配地址。然后再用主机去发DHCPdiscover请求主机就成功获得地址池里的IP地址。 kali模拟攻击会存在在攻击时可以伪造数据中的以太网Ⅱ的源MAC地址和DHCP报文中的CHADDR地址字段同时变化去欺骗DHCPsnooping去实现消耗DHCP服务器里面的IP地址达到饿死攻击的效果。开始攻击攻击效果是每秒钟以上千次的数据发送频率去发送discover请求。随机打开两个discover请求可一看到每一次的以太网Ⅱ源MAC地址都会发生变化而且源MAC地址和CHADDR地址是一致的再查看地址池的消息已经被攻击停止给主机分配地址了被饿死攻击了。所以说遇到这种攻击的时候再采用DHCPsnooping防范就已经不够了。 在开启DHCPsnooping和DHCPcheck面对这种可以仿造变化地址的攻击方式以每秒上千次的攻击频率去攻击交换机需要对每一个数据进行检验判断需要消耗大量的内存消耗CPU的资源。 Yersinia DHCP DOS上一个地址可变的攻击的攻击防范无法通过CHADDR和DHCPcheck去防御需要通过端口安全的方式去实现。 Yersinia攻击伪造会伪造源MAC地址和CHADDR同时会让交换机学习到大量的MAC地址可以同过设置接口的允许MAC地址的学习数量如果学习数量超过可允许范围内就关闭端口shutdown禁止数据传输。 给交换机设置端口安全。 命令[SW1]port-group 1进入接口组 命令[SW1-port-group-1]port-security enable端口安全打开 命令[SW1-port-group-1]port-security max-mac-num 1设置端口安全最大允许学习的MAC地址数量为 1设置端口安全的动作方式第一个是保护直接丢弃数据第二个是丢弃数据并报警第三个是直接关闭接口 命令[SW1-port-group-1]port-security protect-action shutdown选择安全保护动作是关闭接口 用kali模拟攻击可以看到交换机接口学习MAC地址数量过多接口直接关闭了交换机直接报出日志MAC地址的数量超出限制接口g0/0/3将关闭 然后再重新打开接口g0/0/3再对DHCP服务器的地址池的信息清理一下准备重新发起攻击。看能不能抵御住这种攻击。​​​​​​​在DHCP服务器的g0/0/1口收到了DHCP的discover消息然后回复了一个offer,分配给攻击机的地址是19.168.100.14。在到地址池查看配置信息是分配给CHADDR地址的IP地址192.168.100.14。 然后再用主机申请IP地址从主机上和DHCP服务器地址池里可以看到主机成功分配到地址。 这种设置安全端口的方式不仅可以防止饿死攻击还可以对主机进行分配IP地址的服务。