期刊鉴别 论文检测 免费论文 特惠期刊 学术答疑 发表流程

校园网DHCP安全性研究(2)

时间:2013-08-15 16:58 文章来源:http://www.lunwenbuluo.com 作者:论文部落 点击次数:

  由于DHCP在动态分配IP地址方面可以极大的减少网络管理员的工作量,因此,DHCP服务几乎是各类校园网中的标准服务。但是,在实际使用中,DHCP服务也存在各种不同的安全风险,主要有以下几类:

  (1)私自手动指定静态IP地址造成IP地址冲突。在这种情况下,主要是为了个人使用方便,私自手动指定静态IP地址,结果造成DHCP服务器将此已经使用的IP地址又分配给了其他的终端,结果造成IP地址冲突。

  (2)DHCP拒绝服务攻击。在这种情况下,恶意用户通过不断更换终端的MAC地址,向DHCP服务器申请大量的IP地址,耗尽DHCP服务器IP地址池中可分配的所有IP地址,从而导致其他合法用户的IP地址申请无法满足。

  (3)私自架设非法DHCP服务器,造成DHCP服务器分配的IP地址无法正常上网。这种情况下主要是恶意用户非法构建DHCP服务器,开启DHCP服务,为合法用户分配不正确的IP地址、网关、DNS等参数,影响合法用户的正常通信和信息安全。也有可能是目前大量的小型无线路由器等设备投入使用,而用户对此类小型设备接线错误,造成一个网段中存在大量的DHCP服务器,影响网络的正常使用。

  4校园网DHCP服务安全风险的防范措施

  (1)对于私自手动指定静态IP地址,一般可以采取加强管理,告知所有网络用户都使用自动配置来配置自己的网络,也可以在接入层交换机中采用IP-MAC绑定技术,在接入层交换机上设置静态ARP表,并对不存在静态ARP表中的IP-MAC数据包不转发,从而阻止IP地址冲突的问题。

  (2)对于使用DHCP拒绝服务攻击和私自非法假设DHCP服务器造的防范,可以采用DHCPSnooping技术。交换机开启DHCPSnooping功能,会对DHCP报文进行侦听,并可以从接收到的DHCPRequest或DHCPACK报文中提取并记录IP地址和MAC地址信息。DHCPSnooping允许将某个物理端口设置为信任端口或不信任端口,信任端口可以正常接收并转发DHCPOffer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,就可以完成交换机对假冒DHCP服务器的屏蔽作用,确保客户端从合法的DHCP服务器获取IP地址。另外,开启接入交换机的DHCPSnooping功能,可以限定交换机的每个端口申请IP地址的数量,如果该端口下申请的IP地址数量超过了阈值,则不再转发DHCPDiscover报文,从而有效防止DHCP拒绝服务攻击。

  以思科交换机为例,进行DHCPSnooping的配置如下:

  1)Switch(config)#ipdhcpsnooping//全局模式下开启DHCPSnooping模式;

  2)Switch(config)#intg0/1//配置信任端口;

  3)Switch(config-if)#ipdhcpsnoopingtrust//将端口设置为信任端口;

  4)Switch(config-if)#exit

  5)Switch(config)#ipdhcpsnoopingvlan10,20//配置要保护的子网;

  6)Switch(config)#ipdhcpsnoopinglimitrate10//限制非信任端口DHCP包的转发速率,超过该设置该端口就shutdown,从而保护DHCP服务器免受拒绝服务攻击,默认不限制。

  5结语

  通过对接入层交换机启用DHCPSnooping配置,可以有效的防范校园网内DHCP服务所面临的安全风险,从而保证校园网内DHCP服务的安全、稳定运行。

 


  •   论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
  •   论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
  •  
  •   论文投稿客服QQ: 论文投稿2863358778 论文投稿2316118108
  •  
  •   论文投稿电话:15995089042
  •  
  •   论文投稿邮箱:lunwenbuluo@126.com

联系方式

  • 论文投稿客服QQ: 论文投稿2863358778
  • 论文投稿客服QQ: 论文投稿2316118108
  • 论文投稿电话:15995089042
  • 论文投稿邮箱:lunwenbuluo@126.com

热门排行

 
QQ在线咨询
咨询热线:
18915033935
微信号咨询:
15995089042