基于DHCP Snooping技術(shù)的校園網(wǎng)非法DHCP服務器的接入

湯小康

（廣東財經(jīng)大學信息化建設(shè)與管理辦公室 廣東 510320）

0 引言

校園網(wǎng)中，DHCP（Dynamic Host Configuration Protoco1，動態(tài)主機配置協(xié)議）服務是一種非常常見的服務，該服務主要是自動為網(wǎng)絡(luò)中的終端設(shè)備提供必要的網(wǎng)絡(luò)參數(shù)如IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等信息，簡化了計算機等終端的地址配置工作。然而，由于DHCP報文在客戶端和服務器的交互過程沒有認證機制，如果網(wǎng)絡(luò)中存在多臺DHCP服務器，校園網(wǎng)中的用戶有可能從非法DHCP服務器獲得地址信息，從而導致網(wǎng)絡(luò)中地址混亂，影響校園網(wǎng)正常運行。

利用交換機的DHCP監(jiān)聽特性，合理配置交換機相應端口參數(shù)，可以防止校園網(wǎng)中非法DHCP服務器為客戶端分配錯誤的IP地址信息，僅允許合法的DHCP服務器為客戶端提供服務。

1 DHCP Snooping

DHCP Snooping，意為DHCP 窺探，在一次客戶端動態(tài)獲取IP地址的過程中，通過對客戶端和服務器之間的DHCP交互報文進行窺探，實現(xiàn)對用戶的監(jiān)控，同時DHCP Snooping起到一個DHCP 報文過濾的功能，通過合理的配置實現(xiàn)對非法服務器的過濾，防止用戶端獲取到非法DHCP服務器提供的地址而無法上網(wǎng)。

由于DHCP獲取IP的交互報文是使用廣播的形式，從而存在著非法的DHCP服務影響用戶正常IP的獲取，更有甚者通過非法的DHCP服務欺騙竊取用戶信息的現(xiàn)象，為了防止非法的DHCP服務的問題，DHCP Snooping把端口分為兩種類型，TRUST口和UNTRUST口，設(shè)備只轉(zhuǎn)發(fā)TRUST口收到的DHCP應答報文，而丟棄所有來自UNTRUST口的DHCP應答報文，這樣我們把合法的DHCP Server連接的端口設(shè)置為TRUST口，則其他口為UNTRUST口，就可以實現(xiàn)對非法DHCP Server的屏蔽。

當網(wǎng)絡(luò)中存在DHCP服務器欺騙的時候就可以考慮采用這個功能，比如網(wǎng)絡(luò)中有個別終端用的是window 2003或者2008系統(tǒng)默認開啟了DHCP服務，或者是一些接入層的端口連接有TPLINK、DLINK這樣的無線路由器，并開啟了DHCP服務。推薦在用戶接入層交換機上面部署該功能，越靠近PC端口控制的越準確，而每個交換機的端口推薦只連接一臺PC，否則如果交換機某端口下串接一個HUB，在HUB上連接了若干PC的話，那么如果湊巧該HUB下發(fā)生DHCP欺騙，由于欺騙報文都在HUB端口間直接轉(zhuǎn)發(fā)了，沒有受到接入層交換機的DHCP Snooping功能的控制，這樣的欺騙就無法防止了。

圖1 網(wǎng)絡(luò)拓撲圖

2 DHCP Snooping配置

2.1 組網(wǎng)拓撲

網(wǎng)絡(luò)拓撲如圖1所示，核心交換機連接DHCP Server，接入交換機的G0/49端口上聯(lián)至核心，下聯(lián)計算機PC使用DHCP服務獲取IP地址。核心交換機為銳捷S6810，接入交換機為銳捷S2352。

2.2 網(wǎng)絡(luò)環(huán)境及故障描述

由于我校的無線網(wǎng)絡(luò)尚在建設(shè)階段，而隨著手機、IPAD等移動智能終端的發(fā)展，用戶對于無線網(wǎng)絡(luò)的需求日趨明顯，因此很多用戶會在一些免認證的區(qū)域自己搭建一個熱點，直接在校園網(wǎng)端口上連接一個類似于TP-LINK這樣的無線路由器，而大部分用戶又缺乏專業(yè)的網(wǎng)絡(luò)知識，連接的無線路由器通常都使用了默認的配置，而路由器默認的配置通常都會開啟DHCP服務為通過它連接校園網(wǎng)的終端分配IP地址，而這樣的配置往往是導致發(fā)生DHCP欺騙的根源。

在圖1中，如果用戶沒有連接TP-LINK路由器，PC1和PC2都會由DHCP Server來提供IP地址等網(wǎng)絡(luò)參數(shù)，而當網(wǎng)絡(luò)接入了TP-LINK無線路由器并開啟DHCP服務，這時PC1和PC2都會接收由TP-LINK分配的IP地址等網(wǎng)絡(luò)參數(shù)，PC2通過TP-LINK可以正常上網(wǎng)，而PC1是直接連接校園網(wǎng)但是卻得到了錯誤的IP地址及網(wǎng)絡(luò)參數(shù)導致無法連接校園網(wǎng)，這時候就發(fā)生了DHCP欺騙。

2.3 解決方法

利用DHCP Snooping可以防止上述DHCP欺騙的發(fā)生，只需在接入交換機全局開啟DHCP Snooping功能并設(shè)置G0/49為TRUST口，由于F0/2為UNTRUST口，由TP-LINK所發(fā)出的DHCP應答報文將無法通過，從而實現(xiàn)對非法DHCP Server的屏蔽。

2.4 配置步驟

（1）在接入交換機上開啟dhcp snooping功能

Switch>enab1e

Switch#configure termina1

Switch（config）#ip dhcp snooping

（2）連接DHCP服務器的接口配置為TRUST口

Switch（config）#interface gigabitEthernet 0/49

Switch（config-GigabitEthernet 0/49）#ip dhcp snooping trust

（3）保存配置

Switch（config-GigabitEthernet 0/49）#end

Switch#write

3 總結(jié)

使用DHCP Snooping技術(shù)可以有效地防范校園網(wǎng)中非法DHCP服務器的接入，但是前提是網(wǎng)絡(luò)中使用的交換機必須支持DHCP Snooping功能及信任端口配置，如果交換機不支持DHCP Snooping功能，就只能通過其他的方法如端口隔離、接入層ACL、接入認證來進行防范。

[1]孫中廷.趙玉艷.非法DHCP帶來的災害及防范措施[J].辦公自動化.2009.

[2]孫中全，陳開兵..基于交換機阻止非法DHCP服務器攻擊的實現(xiàn)[J].滁州職業(yè)技術(shù)學院學報.2014.

[3]曹忠華.使用DHCP Snooping技術(shù)屏蔽校園網(wǎng)中非法DHCP服務器[J].中國教育信息化.2011.

[4]王景明.校園局域網(wǎng)非法 DHCP接入問題的研究與解決辦法[J].電腦知識與技術(shù).2014.

[5]馬素芬，顧婷婷.校園網(wǎng)中非法 DHCP服務器的防范措施研究[J].信息通信.2014.