25
「DHCP」- 消耗攻击(饿死攻击,Starvation Attack)
source link: https://blog.k4nz.com/bb6ae696455f74c43177aece3c49181b/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
「DHCP」- 消耗攻击(饿死攻击,Starvation Attack)
2022-04-05
CREATED BY JENKINSBOT
攻击者持续大量地向 DHCP Server 申请 IP 地址,直到耗尽 DHCP Server 地址池中的 IP 地址,导致 DHCP Server 不能给正常的用户进行分配。
DHCP Server 向 DHCP Client 分配 IP 地址时,无法区分正常的申请者与恶意的申请者。
防止通过变换 MAC 地址,来大量发送 DHCP 请求
通过 DHCP Snooping 的 MAC 地址限制功能,来防止饿死攻击,该功能通过限制交换机接口上允许学习到的最多 MAC-ADDR 数目,这样攻击者便无法通过修改 MAC-ADDR 来发送大量 DHCP 请求。
通过 dhcp snooping max-user-number 命令
防止通过改变 CHADDR 值的 DoS 攻击
为了避免受到攻击者改变 CHADDR 值的攻击,可以在设备上配置DHCP Snooping功能,检查 DHCP-Request.CHADDR 字段。如果该字段跟数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务。
如果要在某端口下实施源MAC地址与CHADDR的一致性检查,可以使用:[Interface] dhcp snooping check dhcp-chaddr enable
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK