dhcp仿冒者攻击是指

dhcp仿冒者攻击是指,第1张

dhcp仿冒者攻击是指在内部网络搭建一台仿冒的DHCP服务器。通过这台服务器将用户的流量按照攻击者的意图走,DHCP报文泛洪攻击构造大量DHCP报文向DHCP服务器发送,仿冒DHCP报文攻击构造仿冒的DHCP报文。

dhcp仿冒者攻击的原理

在DHCP工作原理中客户端以广播的形式寻找服务器,只采用第一个网络配置参数,所以如果有多台DHCP服务器,客户端会采用先应答的服务器所给的参数,攻击者利用未授权的服务器优先应答客户端的地址请求。

就会获取到不正确的IP地址网关和DNS信息,而使用了攻击者提前布置好各种陷阱的IP地址,攻击者恶意从授权的DHCP服务器上反复申请IP地址,导致DHCP服务器消耗了全部地址,出现DHCP饥饿无法正常服务。

电脑里是不存在DHCP服务器地址的,如果你将电脑设置成自动获取IP后,电脑是以广播的形式在网内寻找DHCP服务器的,如果服务器在其他的网段,可以在本网段设置DHCP代理,仍然可以从其他网段获取IP。如果你网内有两个服务器,那么客户端广播寻找DHCP服务器时,两个服务器都会响应,至于是那个服务器最终提供了IP,那是随机的,和很多因素有关,比较难以控制。

实验八  DHCP+NAT+ACL(case study)

【实验目的】

一、了解DHCP原理,掌握在路由器上配置DHCP服务器的方法

二、了解IP Helper Address原理和配置方法

三、掌握NAT原理,掌握静态和动态NAT、PAT的配置方法

四、理解和掌握ACL的作用;学会配置各种ACL

五、参与网络的设计和实现

【实验拓扑及器材】

本实验需用到路由器4台,交换机1台,串行线、直通线、交叉线、console线若干,主机7台。实验拓扑如下:

场景描述:

上图为某小型公司的网络。

1. 拓扑描述:

1)3个VLAN,其中VLAN2(PC1所在VLAN)为一般员工使用,VLAN4(PC2所在VLAN)为来访客户使用,VLAN3(Server1所在VLAN)有公司的http和ftp服务器。

2)LAN5(即PC3所在的LAN),为网络管理员使用。

3)公司网络通过边界路由器R3连接到ISP(用主机模拟)。

2. IP地址:

1)在公司的网络内部,使用私有地址,地址范围为192.168.1.0/24网段。VLAN3的服务器的IP地址为手动配置的固定地址;VLAN2、VLAN4、LAN5的主机的IP地址由DHCP自动获取,路由器R2上配置了DHCP服务,而路由器R1上配置了IP Helper Address。

3)当公司内部需要和外部通信时,通过边界路由器R3进行NAT转换,可用的内部全局地址为202.116.64.128/26网段。其中VLAN3的服务器使用的是静态NAT转换,以使外部网络能对服务器进行访问;而VLAN2、VLAN4、LAN5的主机使用的是PAT,以节省内部全局地址。

3. 公司内部的路由器上配有ACL,使得:

1)VLAN2能访问VLAN3、VLAN4、LAN5以及Internet,但不能被VLAN4、Internet的用户访问。

2)VLAN3能被VLAN2、LAN5的用户访问,而被VLAN4、Internet的用户只能通过http和ftp访问

3)路由器的虚拟终端只允许LAN5用户的登录。

【实验重难点】

一、DHCP & IP Helper Address

1. DHCP(动态主机配置协议)

网络管理员可以利用DHCP服务器从事先定义好的地址池里为客户机动态分配IP配置以及DNS服务器、域名等参数。

DHCP对客户端的配置过程主要包括以下四个步骤:

1)客户端需要IP配置的时候,向所有节点发送DHCPDISCOVER广播寻找DHCP服务器;

2)服务器用单播方式向客户端发送DHCPOFFER响应,提供IP建议配置信息;

3)客户端如果觉得该建议配置可以接受,就向所有节点发DHCPREQUEST广播;

4)服务器向客户端单点传送一个DHCPACK以确认该配置的正式化。

2. IP Helper Address

网络中有多种类似DHCP这样需要通过广播寻找服务器的服务。而在大型的网络中,往往不是所有客户都与这些主要服务器处于同一子网中。缺省情况下路由器不会将客户的广播转发到他们的子网之外,因此这些定位服务器的广播包将无法到达服务器。

为了既能让客户能定位服务器而又避免在每一个子网上放置服务器,Cisco IOS提供了帮助地址特性。IP helper-address命令可以让路由器中继这些主要UDP服务的广播请求,并把它们转发到特定的服务器上,从而服务器能基于请求作出响应,给请求客户以它们所需要的信息。

在DHCP包中有一个GIADDR字段,若需跨网域进行自动地址分配,则此字段为中继代理的地址,否则为0。DHCP服务器可以从代理的地址识别该请求主机对应的网段,从而能正确地分配地址。

二、NAT

1. 私有地址和地址转换

IANA保留了下列三块IP地址空间作为私有地址:

10.0.0.0~10.255.255.255(一个单独A类网络号码)

172.16.0.0~172.31.255.255(16个相邻的B类网络号)

192.168.0.0~192.168.255.255(256个相邻的C类网络号)

任何组织可以不经IANA或因特网登记处的允许就可以使用私有地址。取得私有IP地址的主机能和组织内部任何其他主机连接,但是如果不经过一个代理网关就不能和组织外的主机连接。

地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以使用私有的IP地址(不需要经过申请),在组织内部,各计算机间通过私有IP地址进行通讯,而当组织内部的计算机要与外部网络进行通讯时,具有NAT功能的设备负责将其私有IP地址转换为公有IP地址,即用该组织申请的合法IP地址进行通信。

2.NAT几个主要术语

1)内部局部地址(Inside Local):在内部网络中分配给主机的私有IP地址。

2)内部全局地址(Inside Global):一个合法的IP地址,它对外代表一个或多个内部局部IP地址。

3)外部全局地址(Outside Global):由其所有者给外部网络上的主机分配的IP地址。

4)外部局部地址(Outside Local):外部主机在内部网络中表现出来的IP地址。

3.NAT的类型

静态地址转换将内部局部地址与内部全局地址进行一对一的转换,内部局部地址被永久映射成某个固定的全局地址。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户共用的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。

动态地址转换也是将内部局部地址与内部全局地址一对一的转换,它从内部全局地址池中动态地选择一个未使用的地址对内部局部地址进行转换,即采用动态分配的方法映射内部局部地址和内部全局地址。

端口地址转换(PAT)是一种动态地址转换,它允许多个内部局部地址地址映射到同一个全局地址。NAT设备通过映射TCP或UDP端口号来跟踪记录不同的会话。

4.NAT的工作原理

当内部网络中的一台主机想传输数据到外部网络时,在它传输到外部网络之前要经过NAT路由器。该路由器检查数据包的报头,获取该数据包的源IP信息,并检查是否满足地址转换条件。如果不满足,则直接对数据包按常规进行路由处理。如果满足动态地址转换条件,则从该路由器的内部全局地址表中分配一个内部全局地址给该内部局部地址,并形成内部局部地址和内部全局地址的映射表。静态地址转换的映射表则是固定生成的。NAT路由器把该数据包的源地址,用它的内部全局地址代替,把此数据包传输到外部网络中。

当外部网络对内部主机进行应答时,应答数据包穿越外部网络到达发送端的NAT路由器上。此路由器分析目的IP地址,当发现此目的IP地址为内部全局地址时,它将查找NAT映射表,从而获得内部局部地址;然后将数据包的目的地址替换成内部局部地址,并将数据包转发到内部网络中,最终到达发送的主机。

三、ACL(访问控制列表)

ACL能允许或拒绝数据包穿过规定的路由器接口,是应用在IP地址或上层协议(如TCP层)的允许和拒绝条件的一个有序的集合。ACL的主要作用是对数据包进行过滤,从而有助于控制通过网络的数据包传输,达到限制网络数据流以及限制某些用户或设备对网络进行访问的目的,具有简单的网络安全功能。

ACL语句是按顺序进行处理的,若找到匹配的语句则立刻执行permit或deny,剩下语句不再进行处理;若所有语句都不匹配,数据包将被deny。每一种被路由协议(如IP、IPX ),在路由器的每个接口上的每个方向上(in和out),最多只能绑定一条ACL。后面绑定的ACL会覆盖前面绑定的,也就是说后面绑定的ACL会取代前面绑定的ACL而起作用。

标准ACL:它只对数据包的源IP地址进行控制和过滤,配置时的编号范围是1~99和1300~1999。放置规则是将它们放在距目的地路由器尽可能近的地方以进行有效的控制。理由是标准ACL只能指定源地址,所以在数据流被拒绝点之后的路径中的任何设备都不能进行通信。不过要注意的是,这就意味着数据流会通过网络被转发,只在距目的地近的地方才被拒绝。配置方法是――(1)定义ACL:Router(config)#access-list <num> {permit |deny} 源地址 [通配符掩码];(2)绑定ACL到接口:Router(config-if)#ip access-group <num> {in|out}。

扩展ACL:它会对源和目的IP地址都进行过滤和控制,配置时的编号范围是100~199和2000~2699。放置规则是将它们放在离源近的地方以减少非法流穿越多台路由器以及ICMP的管理性拒绝消息。理由是扩展ACL除了源的信息外,还指定了目的地的相关信息,如IP地址、TCP层的端口号等。配置方法是――(1) 定义ACL:Router(config)#access-list <num> { permit | deny } 协议 源地址 通配符掩码 [ eq | neq | gt | lt 源端口] 目的地址 通配符掩码 [ eq | neq | gt | lt 目的端口] [other options];(2) 绑定ACL到接口:Router(config-if)#ip access-group <num> {in|out}。

标准或扩展ACL修改时无法修改特定条目,只有完全删除后再按正确的方式重新建立才行。标准和扩展ACL对于由路由器自身发出的数据包不起限制作用。

命名ACL:命名ACL允许在标准ACL和扩展ACL中,使用一个字母数字组合的字符串(名字)来表示ACL号。命名ACL可以删除某一特定的条目,而不用通过完全删除一个ACL,然后再重新建立一个ACL来删除某一条特定的条目。

限制虚拟终端:出于安全性的考虑,我们需要限制主机或者其它路由器对虚拟终端的访问。类似物理接口,我们可以在虚拟端口绑定ACL。

【实验内容】

一、 按照拓扑配置路由器名称、接口(包括子接口)

二、 配置交换机(配置方法可参考实验五)

1. 清空交换机原先的配置

2. 配置VLAN并绑定到相应的端口

3. 配置trunk

三、 配置路由

1. 在内部网络配置OSPF路由协议

2. 在R3上配置默认路由,并传播到整个内部网络

R3(config)#ip route 0.0.0.0 0.0.0.0 202.116.64.1

R3(config)#router ospf 1

R3(config-router)#default-information originate

3. 在ISP配置静态路由

ISP(config)#ip route 202.116.64.128 255.255.255.192 202.116.64.2

四、 配置DHCP

1. 在R2配置DHCP服务:VLAN2对应地址池是192.168.1.64/26,VLAN4对应地址池是192.168.1.128/26,LAN5对应地址池是192.168.1.32/27

1) 配置192.168.1.64/26网段的DHCP服务:

R2(config)#ip dhcp pool VLAN2pool //建立一个地址池

R2(dhcp-config)#network 192.168.1.64 255.255.255.192 //指定分配的IP地址范围

R2(dhcp-config)#default-router 192.168.1.65 //指定网关

R2(dhcp-config)#dns-server 202.116.64.1 //指定DNS服务器

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 192.168.1.65 //指定不能分配的地址

2) 配置192.168.1.128/26网段的DHCP服务:

R2(config)#ip dhcp pool VLAN4pool

R2(dhcp-config)#network 192.168.1.128 255.255.255.192

R2(dhcp-config)#default-router 192.168.1.129

R2(dhcp-config)#dns-server 202.116.64.1

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 192.168.1.129

3) 配置192.168.1.32/27网段的DHCP服务:

R2(config)#ip dhcp pool LAN5pool

R2(dhcp-config)#network 192.168.1.32 255.255.255.224

R2(dhcp-config)#default-router 192.168.1.33

R2(dhcp-config)#dns-server 202.116.64.1

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 192.168.1.33

2. 在R1配置helper address

R1(config)#ip helper-address 192.168.1.5

3. 主机设置为用DHCP获取IP地址,并查看获取地址的结果

4. 检验DHCP的常用命令

show ip dhcp binding

show ip dhcp server statistics

debug ip dhcp server events

debug ip dhcp server packet

五、 在R3配置NAT

1. Server1用静态NAT映射到202.116.64.129

R3(config)#ip nat inside source static 192.168.1.194 202.116.64.129

//在内部接口上启用源地址转换

R3(config)#interface s0

R3(config-if)#ip nat inside //指定内部接口

R3(config-if)#interface s1

R3(config-if)#ip nat outside //指定外部接口

2. VLAN2、VLAN4、LAN5的主机用动态NAT映射到地址池202.116.64.130~202.116.64.254

R3(config)#ip nat pool CISCO 202.116.64.130 202.116.64.254 netmask 255.255.255.192

R3(config)#access-list 1 deny 192.168.1.192 0.0.0.63

R3(config)#access-list 1 permit 192.168.1.0 0.0.0.255

R3(config)#ip nat inside source list 1 pool CISCO

3. 把动态NAT改为使用PAT

1) 删除NAT配置,清除所有NAT转换表项:

R3#clear ip nat translation *

R3#clear ip nat statistics

R3(config)#no ip nat inside source list 1 pool CISCO

2) 配置PAT:

R3(config)#ip nat inside source list 1 pool CISCO overload

4. 检验NAT的常用命令

show ip nat translations [verbose]  //查看映射表

show ip nat statistics

debug ip nat

六、 配置ACL

1. 在R1的f0.2口绑定ACL,使VLAN2能访问VLAN3、VLAN4、LAN5以及Internet,但不能被VLAN4、Internet的用户访问

R1(config)#access-list 100 permit ip 192.168.1.192 0.0.0.63 any

R1(config)#access-list 100 permit ip 192.168.1.32 0.0.0.31 any

R1(config)#access-list 100 permit tcp any any established

R1(config)#interface f0.2

R1(config-if)#ip access-group 100 out

2. 在R1的f0.3口绑定ACL,使VLAN3能被VLAN2、LAN5的用户访问,而被VLAN4、Internet的用户只能通过http和ftp访问

R1(config)#access-list 101 permit ip 192.168.1.64 0.0.0.63 any

R1(config)#access-list 101 permit ip 192.168.1.32 0.0.0.31 any

R1(config)#access-list 101 permit tcp any any eq 80

R1(config)#access-list 101 permit tcp any any eq 20

R1(config)#access-list 101 permit tcp any any eq 21

R1(config)#access-list 101 permit tcp any any established

R1(config)#interface f0.3

R1(config-if)#ip access-group 101 out

3. 在R1、R2、R3的虚拟终端绑定ACL,只允许LAN5用户的telnet登录

以R1为例:

1) 配置telnet

R1(config)#enable password cisco

R1(config)#line vty 0 4

R1(config-line)#password Cisco

R1(config-line)#login

2) 在虚拟终端绑定ACL

R1(config)#access-list 1 permit 192.168.1.32 0.0.0.31

R1(config)#line vty 0 4

R1(config-line)#access-class 1 in

4. 检验ACL的常用命令

show access-lists

show run

show ip interface


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/486396.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-12
下一篇2023-06-12

发表评论

登录后才能评论

评论列表(0条)

    保存