《DHCP的安全问题与防范措施.docx》由会员分享,可在线阅读,更多相关《DHCP的安全问题与防范措施.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、新疆农业大学科学技术学院课 程 论 文题 目: DHCP的安全问题与防范措施 课 程: 计算机网络 姓 名: 王志强 专 业: 机械设计制造及自动化 班 级: 机械112 学 号: 座位号: 03 指导教师: 王红梅 职 称: 讲师 20 14 年5 月 25 日DHCP的安全问题与防范措施作者:王志强 指导老师:王红梅摘要 :随着互联网的普及,人们的工作、学习和生活与网络联系越来越紧密,搭建了许多不同的网络,如企业网、校园网和城区网等。而我们知道,在TCP/IP网络应用中,网络用户PC只有在获取了一个网络地址,才可以和其他的网络用户进行通讯。在联网的实际应用中,我们经常会遇到一些问题:比如I
2、P地址发生冲突、由于网关或DNS服务器地址的设置出现错误而无法访问网络中的其他主机、由于计算机的位置经常变动而不得不频繁地修改IP地址。DHCP 技术可以有效地解决目前IP 地址资源不足和无线网络用户的移动性,并极大地减轻大型网络管理员的工作量,有利于快速地搭建一个大型网络或修改其网络配置。但由于DHCP 协议在设计时未考虑安全的因素,在使用DHCP 服务器为网络地址和参数的网络中面临着很多DHCP 威胁,所以对DHCP 安全性的研究具有重大意义。本人即围绕DHCP 网络协议的安全性问题展开集中讨论研究,包括归纳DHCP 网络安全的主要威胁、提出了消除威胁的策略建议、用对比的方式挖掘减少威胁的
3、方法以及安全实现。关键词:DHCP;TCP/IP;安全性;网络协议;解决Security problems and preventive measures of DHCPName:Wang Zhiqiang Guidance teacher:Wang HongmeiAbstract: with the popularization of Internet, peoples work, study and life increasingly close ties with the network, set up a number of different networks, such as en
4、terprise network, campus network and public network etc. As we know, in TCP/IP network application, PC network user only in the acquisition of a network address, can and other network users to communicate. In the practical application of networking, we often encounter some problems: for example, the
5、 IP address conflict due to the gateway or the address of the DNS server setup errors and cannot access any other host in the network, because of the position of computer change frequently and frequently had to modify the IP address. DHCP technology can effectively solve the problems of shortage of
6、IP addresses and mobility of wireless network user, and greatly reduce the workload of a large network administrators, for fast set-up of a large-scale network or modify its configuration. But because the DHCP protocol does not take into account the factor of safety in the design, use DHCP server to
7、 the network address and the parameters of the network are facing a lot of DHCP threat, so the research on the security of DHCP is of great significance. Safety issues I around the DHCP network protocol focused research and discussion, including the main threat, induction of DHCP network security st
8、rategy, put forward to eliminate the threat by way of contrast mining threat reduction method and security implementation.Keywords: DHCP; TCP/IP; security; network protocol; solve1.引言随着现代网络的应用需求越来越复杂,DHCP (动态主机设置协议,Dynamic Host Configuration Protocol)服务器在动态分配地址的网络中扮演了越来越重要的角色,除了满足各种复杂的需求外, 如何保证它的持久正
9、常运行显得格外重要7。DHCP 服务器可以方便地为网络中的新用户配置IP 地址和网络参数,这给经常需要移动的合法用户带来了很多的方便5。但同时也带来了不安全因素,很多非授权用户或者非法用户也会乘虚而入。2.应用技术2.1 DHCP应用技术DHCP协议是在UDP和IP协议的基础上运行,有很多不安全因素。而且DHCP的运作机制中,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器 将会给网络照成混乱11。例如,恶意用户冒充DHCP服务器,发放错误的IP地址、 DNS服务器信息或默认网关信息,来实现流量的截取等等。交换机可以通过运行在网络层的DHCP中继的安全功能,或运行在数据链路层的
10、DHCP Snooping功能来监听DHCP报文,记录服务器分配给客户端的IP地址等配置信息,并通过与交换机上其它功能模块的配合,提高整体网络的安全性49。2.2 技术优点DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。设备通过监听DHCP报文,过滤不可信任的DHCP信息;建立和维护DHCP Snooping表项,记录用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系,一般可以与其它功能模块配合使用,提高网络的安全性。 DHCP中继运行在网络层,其安全功能与DHCP Snooping类似,同样是记录用户的MAC地址与IP地址的信息,一般与ARP功能模块配
11、合使用,提高网络的安全性8。3.DHCP 网络安全的主要威胁对于一个DHCP 服务器的具体威胁是一个非法的客户伪装成为一个合法客户来申请IP 地址和网络参数。这样的动机可能是“盗用服务”,或者是为了避开对非法使用的检查。这样有可能导致信息泄密2。4.消除DHCP 威胁的对策1) 主动检测非法服务器:首先,当网络中一个伪服务器建立后,对网络的危害是巨大的,可导致整个网络的瘫痪。网路管理员通常是检查导致网络瘫痪的各个细节,都一无所获,很难想到罪魁祸首是伪服务器。最后排除了各个原因,即使确定了网络中存在一个伪服务器,但如果在一个庞大的企业网中确定它的位置也是困难的。那么不如化被动为主动,建立网络入侵
12、监测程序主动检测网络中是否有伪服务器的建立,对网络中的DHCP 服务器的使用情况做到心中有数。其次,主动检测模块是一个主动检测非法服务器的功能,它可以配置在Client 端,合法服务器端以及DHCP 中继端1。2)检测MAC 地址:为了对非法用户有效地遏制,可以在DHCP服务器与客户主机交互的过程中增加一些限制条件。例如在DHCP 服务器向客户主机分配IP 地址时增加检查主机的MAC 地址的过程。如果客户主机的MAC 地址是合法的,则分配,否则拒绝【3】。这是因为在客户主机向DHCP 服务器申请IP 地址时,服务器可以在IP 数据包中解析出主机的MAC 地址,并且MAC 地址是唯一的。5.消除
13、DHCP 威胁结合的网络安全技术1) 网络入侵检测技术:通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等4。2)访问控制:访问控制是网络安全防范和保护的主要技术,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。访问控制的手段包括用户识别代码、口令、登录控制、资源授权、授权核查、日志和审计。3)认证技术:在单条消息的情况下,认证服务功能是向接收方保证消息来自所声称的发送方。对于正在进行的交互,首先,在连接的初始化阶
14、段,认证服务保证两个实体是可信的。其次,认证服务必须保证连接不受第三方如下方式的干扰:第三方能够伪装成为两个合法实体中的一个进行非授权传输或接收6。 6, 减少DHCP 威胁几种方法1) 检测伪服务器:可以降低伪服务器对网络的破坏程度,这由检测的间隔时段长度来决定。但是因为客户主机在向DHCP 服务器申请网络地址和参数时发DISCOVER 消息是广播方式,检测模块应该在每一个物理子网内部署,并且确定合适的检测间隔时段的长度是困难的,最后即使网络中存在检测模块但还是不能完全防止伪服务器的运行。2) 检查客户MAC 地址:当非法用户将其MAC 地址修改为合法的MAC 地址时,检查MAC 地址便无法
15、实现对此种侵入的防范;另外,该方法不仅要增加检查MAC 地址的过程,而且要增加新用户注册的过程,附加注册软件,从而加大企业成本。3) 消息认证机制: 消息认证机制是对以前DHCP 协议的完善,与原来的DHCP 技术很好的结合在一起, 与客户申请IP 地址的过程很好的统一在一起:不仅能够对DHCP 消息认证,也能对DHCP 实体认证,极大的减少了DHCP 威胁。根据对前面的三种方法的比较并根据实际情况,提出一种较为全面地解决安全问题的消息认证机制:1)系统结构:集合了LDAP 基本用户认证的DHCP 安全系统包括8 个部分,增加了认证服务器和认证客户端,在认证服务器处设立有LDAP 服务器用于用
16、户认证, 还有用于实时监测的检测服务器,并且在内部网与外部网的接口处设立了一个具有功能和过滤功能的网关。2)系统的实现:第一步:合法用户在服务端的认证服务器上注册用户名和密码,同时通过程序控制将用户名和密码录入服务器中供以后认证使用;第二步:用户通过客户端从服务器获得一个地址;第三步:用户通过认证客户端由认证服务器进行认证。7.应用与安全实践以M2024 交换机为例, 按命令行方式在路由器上配置DHCP 代理服务。登录M2024 交换机以后,进入管理界而的根菜单。以Windows Server 2003 的服务器部署DHCP 服务,并且为这台服务器指定了一个静态IP 地址。步骤如下:1) 依次
17、单击“开始管理工具DHCP”,打开DHCP 控制台窗口。在左窗格中右击DHCP 服务器名称,执行“新建作用域”命令。2)在打开的“新建作用域向导”对话框中单击“下一步”按钮,打开“作用域名”向导页。在“名称”框中为该作用域键入一个名称,单击“下一步”按钮。3) 打开“IP 地址范围”向导页,分别在“起始IP 地址”和“结束IP 地址”编辑框中键入事先确定的IP 地址范围。接着定义子网掩码,以确定IP 地址中用于“网络/子网ID”的位数。根据实际情况本例将“长度”值设为“24”,单击“下一步”按钮。4) 在打开的“添加排除”向导页中可以指定排除的IP 地址或IP 地址范围。在“起始IP 地址”编
18、辑框中键入排除的IP 地址并单击“添加”按钮。5) 在打开的“租约期限”向导页中,将客户端获取的IP 地址使用期限限制为2 大。6) 打开“配置DHCP 选项”向导页,保持选中“是,现在配置这些选项”单选框并单击“下一步”按钮。在打开的“路由器”向导页中根据实际情况键入网关地址并依次单击“添加* 下一步”按钮。7) 在打开的“域名称和DNS 服务器”向导页中键入DNS 服务器名称和IP 地址。8) 重复17 的步骤完成的作用域的配置。在这种安全性比较高的DHCP 网络中,检测到非法用户,就被阻止访问外部网络。比如:一个用户没有通过身份认证,网关中就不会记录他得到的地址,同时可以限制他对外部网络
19、的访问。检测服务器监测在局域网内部传输的包中的地址,非法用户也能由此检测出来。8.结束语随着网络规模的扩大化和网络环境的复杂化,DHCP服务被应用到越来越多的网络环境中,DHCP特性解决方案可以为客户提供完善、灵活、便捷的组网。同时,基于DHCP中继和DHCP Snooping的安全特性也为接入层设备防止常见的二层攻击提供了解决方案。随着新的网络威胁不断涌现,我们需要加强对威胁DHCP安全的因素进行研究,设计出更好的防范与消除威胁的方案。参考文献:1 宋劲松.网络入侵检测M.北京:国防工业出版社,2008,55-57.2 牛云.数据备份与灾难恢复M.北京:机械工业出版社,2007,122.3
20、李方敏,卢锡成,汪钟明.主机动态配置协议(DHCP)J.湘潭矿业学院学报,2008(7):4.4王精明,赵晓峰.浅析HDCPJ.天中学刊,2003年10月,第18卷5期,46一475 王成明.DHCP 使Internet 地址有效利用的协议J.计算机应用技术,2008(9):33-36.6谢希仁. 计算机网络M. 大连:大连理工大学出版社,20007陈旗 DHCP 中继代理在多子网网络中的应用J 实验科学与技术,2006(4)8W.RiehardStevens著M.TCP/IP网络互连技术(卷1)北京:机械工业出版社20009w.RiehardStevens著MUNIXNetworkProgramming一NetworkingAPI:SoeketsandXTIVolumel(SeeondEdition)北京:清华大学出版社1998.110李方敏,卢锡成,汪钟明.主机动态配置协议(DHCP)J.湘潭矿业学院学报,1997年9月,第12卷3期,17一2511王立群,王成明.DHcP一使Internet地址有效利用的协议J.计算机应用技术,1997年第2期,28一33 得分: