本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

DHCP协议

动态主机配置协议允许计算机自动从DHCP服务器接收IP地址和网络配置。

这是典型的IP地址注意事项：

DHCP Client                   DHCP Server
    +
    +------------------------------>
             DHCP Discover
                                   +
    <------------------------------+
             DHCP Offer
    +
    +------------------------------>
             DHCP Request
                                   +
    <------------------------------+
       DHCP Ack (or Decline, Nack)
    +
    +------------------------------>
             DHCP Release

我们可以看到7种不同的框架：

• DHCP发现：此帧广播到所有网络，以查找DHCP服务器。
• DHCP提供：服务器以单播方式响应DHCP发现。该框架包含网络配置（IP地址池，网关地址…）。
• DHCP请求：客户端发送一个广播帧，以宣布要从哪个服务器使用其配置。
• DHCP确认：所选的DHCP服务器分配IP和配置参数并进行确认。
• DHCP Nack：DHCP服务器拒绝客户端的请求。
• DHCP拒绝：客户端拒绝提供的IP地址。
• DHCP释放：客户端在租约到期之前将其分配的IP地址发回。

注意，来自服务器的响应（DHCP Offer帧）不仅包含客户端IP，还包含其他重要参数，例如网络掩码，默认网关和DNS。

DHCP饥饿攻击

第一次攻击包括用大量请求耗尽DHCP服务器的IP地址池。

攻击者使用不同的MAC地址发送许多DHCP请求，从而导致使用所有可用的IP地址。所有将尝试连接到网络的新计算机都将没有任何IP。

然后，攻击者可以将其工作计算机配置为新的DHCP服务器，以为新计算机提供服务。

在DHCP租约中，将传输有关默认网关和DNS的信息。攻击者可以向新来者提出租约，说他是默认网关，该网关允许“中间人”攻击：主机发送的每个数据包都将通过攻击者计算机。

有一个著名的2级攻击框架叫yersinia我们可以发起DHCP饥饿攻击：

# yersinia dhcp -attack 1 -interface eth0

在使用DHCP参数指定协议后，我们指出攻击模式。-attack 1对应于“ DoS攻击发送发现数据包”。该标志-interface允许我们指定在攻击过程中使用哪个接口。

要停止攻击，只需终止进程：

# killall yersinia

DHCP流氓服务器攻击

攻击的目的是在网络中引入恶意DHCP服务器，该服务器将响应客户端请求。

为了获得成功，您必须比初始DHCP服务器更快地响应DHCP发现请求。这可以通过多种方式完成：

• 通过对当前的DHCP服务器发起DoS攻击：这将导致更长的响应时间，这为您带来了好处。
• 通过在攻击者计算机上重新实现DHCP：DHCP服务器通常会执行其他操作（DNS，网关…）。基本上，与简单的DHCP服务器相比，它们花费更多的时间进行响应。此外，他们必须查看其缓存以查看IP地址是否已被分配，等等。因此，通过实现一个DHCP服务器，该服务器将使用硬编码的IP地址直接响应DHCP发现请求，则可能快点。

实际上，您必须快两倍：答复DHCP发现并发送DHCP确认以验证报价。

如前所述，yersinia允许我们进行此攻击：

# yersinia dhcp -attack 2 -interface eth0

其中的-attack 2意思是“非DoS攻击会创建DHCP流氓服务器”。此攻击模式不需要使用DoS，因为它的实现可能比家庭/办公室路由器中使用的标准DHCP更快。

如何保护

作为进攻很不错，但它是有趣的，看看蓝方部队的。我将讨论思科设备的功能。

有两种主要的方法可以避免对Cisco设备的攻击：DHCP侦听和IP源防护。

• DHCP侦听允许过滤可疑的DHCP请求，并构建所谓的“ DHCP绑定表”。该表包含DHCP属性，如MAC地址，IP地址，租约期限，VLAN编号和相应的接口。

系统管理员可以在交换机上指定可接收DHCP提供和DHCP {Ack，NAck}的受信任接口。由于这些接口被指定为受信任的，和他人不信任。

每个将客户端链接到交换机的接口必须设置为不可信，这仅允许DHCP Discover / Request数据包进入。其他人掉线了。

必须将连接DHCP服务器的端口设置为受信任，以便交换机接受DHCP提供和DHCP {Ack，NAck}数据包。

DCHP绑定表保存有关不可信端口的信息，并由通过DHCP学习的动态条目提供。在重要的网络上，建议将此表外包：在本地将其存储在闪存中。对于每个新条目，必须擦除其内容并再次写入。它还会产生大量的CPU负载，并且在关机的情况下，所有表都将丢失。

可以按照以下方式配置自动外包：

(config)# ip dhcp snooping database ftp://192.168.42.69/binding-table.dhcp
(config)# ip dhcp snooping database write-delay 300

在示例中，我们使用FTP，但也允许使用HTTP，RCP和TFTP。write-delay是表更改时每个副本之间的持续时间。

• IP源防护使我们可以防止DHCP获得的IP篡改。在这种攻击中，攻击者更改其IP和/或MAC地址，以访问远程计算机（IP欺骗）或避免sysadmin设置ACL。

IP源防护使用DHCP绑定表。在开始时，所有IP流量都将被丢弃，DHCP数据包除外。客户端从服务器收到有效的IP后，将在相应的端口上设置VLAN ACL。该端口上有另一个IP ∕ MAC发出的所有流量都将被丢弃。

要在Cisco swicth上配置IP源防护，您可以输入：

(config)# interface FastEthernet1/0/3   # or whatever interface you want
(config-if)# ip verify source port security

最后多说一句，小编是一名python开发工程师，这里有我自己整理了一套最新的python系统学习教程，包括从基础的python脚本到web开发、爬虫、数据分析、数据可视化、机器学习等。想要这些资料的可以关注小编，并在后台私信小编：“01”即可领取。