返回
dhcp欺骗的防范原理及实现论文

dhcp欺骗的防范原理及实现论文

ID:25441546

大小:51.00 KB

页数:4页

时间:2018-11-20

dhcp欺骗的防范原理及实现论文_第1页
dhcp欺骗的防范原理及实现论文_第2页
dhcp欺骗的防范原理及实现论文_第3页
dhcp欺骗的防范原理及实现论文_第4页
资源描述:

《dhcp欺骗的防范原理及实现论文》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、DHCP欺骗的防范原理及实现论文摘要本文先介绍了DHCP及DHCP欺骗的工作原理,然后给出了防范DHCP欺骗的原理、实现的方法和实现的例子。关键词DHCP欺骗DHCPSNOOPING防范在TCP/IP网络中,每台计算机要与其他计算机通信,都必须进行基本的网络配置(IP地址、子网掩码、缺省网关、DNS等)。对于小型网络,为每台计算机一一配置这样的属性也许还可以承受,由于网络应用的发展,特别是电子商务、电子政务、办公自动化等新的网络应用的出现,网络的规模也逐渐扩大.freelicHostConfigureProtocol,动态主机配置协议)应运而生了。这种网络服务

2、有利于网络中的客户机自动进行网络配置,而不需要一个一个手动指定,但DHCP服务在设计时,没有过多的考虑安全问题,因此,这种服务在为网络配置提供方便的时候,又带来了问题。一、DHCP工作原理DHCP服务分为两个部分:服务器端和客户端。所有的IP网络配置资料都由服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的网络配置数据进行网络配置。这种网络配置数据的分配是动态的,是会变化的,称为“租约”分配。“租约”的形成有4个阶段:发现阶段:客户端寻找服务器的阶段。客户端开始时并不知道服务器的IP地址,因此,它会向本地网络广播发送DISCOV

3、ER发现信息来寻找服务器,本地网络中的所有计算机都会接收到这种广播,但只有DHCP服务器才会做出响应。提供阶段:服务器向客户端提供网络配置参数的阶段。在网络中接收到客户端DISCOVER发现信息的DHCP服务器都会做出响应,它们会从尚未出租的IP地址中挑选一个,向客户端发送包含预备出租的IP地址和其他设置的OFFER提供信息。选择阶段:客户端选择某台服务器提供的网络配置参数的阶段。如果网络中存在多台DHCP服务器,它们都会向客户端发送OFFER信息,客户端可能会收到多台DHCP服务器发送的OFFER信息,但它只选择接收到的第一个OFFER信息,然后它就以广播形

4、式发送一个REQUEST请求信息,该信息中包含向它所选定的第一个OFFER信息中的网络配置参数和它选择的DHCP服务器的信息。确认阶段:DHCP服务器确认所提供的网络配置参数。在网络中接收到客户端REQUEST请求信息的对应DHCP服务器会做出响应,如果服务器能满足客户端的请求,它便会向客户端发送一个包含网络配置参数的ACK确认信息,告诉客户端可以使用它所提供的服务,客户端根据该NAK信息来配置其网络参数,否则,它便会向客户端发送一个不能满足请求的NAK信息,并且收回OFFER信息中欲分配给客户端的地址,客户端会回到第一步,重新发起DISCOVER信息。而其他

5、DHCP服务器不会对请求做出应答,一定时间后,那些发送了OFFER信息的DHCP服务器,如果没有收到响应的REQUEST信息,则会收回OFFER信息中欲分配给客户端的地址。“租约”形成后,DHCP服务发挥作用,在不同的“租用期限”将会经历以下几个阶段:重新登录:它将尝试更新上次关机时拥有的IP租用,即客户端直接发REQUEST请求信息,该REQUEST信息和第一次的REQUEST信息不同之处在于没有DHCP服务器的信息,.freelAC地址、IP地址、租用期、VLANID、交换机端口等信息的一张表,并且DHCPSNOOPING还将交换机的端口分为可信任端口和不

6、可信任端口,当交换机从一个不可信任端口收到DHCP服务器的报文时,比如DHCP0FFER报文、DHCPACK报文、DHCPNAK报文,交换机会直接将该报文丢弃;对信任端口收到的DHCP服务器的报文,交换机不会丢弃而直接转发。一般将与用户相连的端口定义为不可信任端口,而将与DHCP服务器或者其他交换机相连的端口定义为可信任端口,也就是说,当在一个不可信任端口连接有DHCP服务器的话,该服务器发出的报文将不能通过交换机的端口。因此只要将用户端口设置为不可信任端口,就可以有效地防止非授权用户私自设置DHCP服务而引起的DHCP欺骗。2.实现步骤(用cisco思科的交

7、换机为例):(1)在交换机的全局配置模式中启用DHCPSNOOPING交换机名(config)#ipdhcpsnooping(2)在交换机的全局配置模式中开启需要启用DHCPSNOOPING的vlan交换机名(config)#ipdhcpsnoopingvlanvlan号(3)在端口配置子模式中将授权DHCP服务器所连的端口设为信任端口(缺省启用DHCPSNOOPING的vlan所在端口都是非信任端口)交换机名(config-if)#ipdhcpsnoopingtrust四、结束语在采用DHCP方式分配网络参数的网络中,DHCP欺骗是存在的。因此,在网络中一定

8、要采用相应的措施来防止DHCP欺骗,否

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。