欢迎光临112期刊网!
网站首页 > 论文范文 > 管理论文 > 电子商务管理论文 > DHCP欺骗的防范原理及实现

DHCP欺骗的防范原理及实现

日期:2023-01-05 阅读量:0 所属栏目:电子商务管理论文


[摘要] 本文先介绍了dhcp及dhcp欺骗的工作原理,然后给出了防范dhcp欺骗的原理、实现的方法和实现的例子。
  [关键词] dhcp 欺骗 dhcp snooping 防范
  
  在tcp/ip网络中,每台计算机要与其他计算机通信,都必须进行基本的网络配置(ip地址、子网掩码、缺省网关、dns等)。对于小型网络,为每台计算机一一配置这样的属性也许还可以承受,由于网络应用的发展,特别是电子商务、电子政务、办公自动化等新的网络应用的出现,网络的规模也逐渐扩大,这样对于一个有几百、上千台的网络,基本的网络配置工作虽然简单,但配置的工作量相当大,而且对以后的维护带来不便。为了便于统一规划和管理网络中的ip地址,dhcp(dynamic host configure protocol,动态主机配置协议)应运而生了。这种网络服务有利于网络中的客户机自动进行网络配置,而不需要一个一个手动指定,但dhcp服务在设计时,没有过多的考虑安全问题,因此,这种服务在为网络配置提供方便的时候,又带来了问题。
  一、dhcp工作原理
  dhcp服务分为两个部分:服务器端和客户端。所有的ip网络配置资料都由服务器集中管理,并负责处理客户端的dhcp要求;而客户端则会使用从服务器分配下来的网络配置数据进行网络配置。这种网络配置数据的分配是动态的,是会变化的,称为“租约”分配。
  “租约”的形成有4个阶段:
  发现阶段:客户端寻找服务器的阶段。客户端开始时并不知道服务器的ip地址,因此,它会向本地网络广播发送discover发现信息来寻找服务器,本地网络中的所有计算机都会接收到这种广播,但只有dhcp服务器才会做出响应。
  提供阶段:服务器向客户端提供网络配置参数的阶段。在网络中接收到客户端discover发现信息的dhcp服务器都会做出响应,它们会从尚未出租的ip地址中挑选一个,向客户端发送包含预备出租的ip地址和其他设置的offer提供信息。
  选择阶段:客户端选择某台服务器提供的网络配置参数的阶段。如果网络中存在多台dhcp服务器,它们都会向客户端发送offer信息,客户端可能会收到多台dhcp服务器发送的offer信息,但它只选择接收到的第一个offer信息,然后它就以广播形式发送一个request请求信息,该信息中包含向它所选定的第一个offer信息中的网络配置参数和它选择的dhcp服务器的信息。
  确认阶段:dhcp服务器确认所提供的网络配置参数。在网络中接收到客户端request请求信息的对应dhcp服务器会做出响应,如果服务器能满足客户端的请求,它便会向客户端发送一个包含网络配置参数的ack确认信息,告诉客户端可以使用它所提供的服务,客户端根据该nak信息来配置其网络参数,否则,它便会向客户端发送一个不能满足请求的nak信息,并且收回offer信息中欲分配给客户端的地址,客户端会回到第一步,重新发起discover信息。而其他dhcp服务器不会对请求做出应答,一定时间后,那些发送了offer信息的dhcp服务器,如果没有收到响应的request信息,则会收回offer信息中欲分配给客户端的地址。
  “租约”形成后,dhcp服务发挥作用,在不同的“租用期限”将会经历以下几个阶段:
  重新登录:它将尝试更新上次关机时拥有的ip租用,即客户端直接发request请求信息,该request信息和第一次的request信息不同之处在于没有dhcp服务器的信息,所有的dhcp服务器都会收到该信息。如果先收到ack信息,则继续使用现有ip地址,并更新其租期;如果先收到nak信息,则发送discover信息,开始新一轮的ip租用过程;如果未收到任何服务器的ack或nak信息,客户机将尝试联系现有ip租用中列出的缺省网关,如果联系成功且租用尚未到期,客户机则认为自己仍然位于与它得现有ip租用时相同的子网上(没有被移走)继续使用现有ip地址。 如果未能与缺省网关联系成功,客户机则认为自己已经被移到不同的子网上,将会开始新一轮的ip租用过程。
  更新租约阶段:任何租约都有一个租借期限,期满后,dhcp服务器便会收回出租的网络配置参数。如果要延长其ip租约,则必须更新其租约。系统约定,客户端ip租约过半时,客户端会自动发送更新租约的request信息(该信息是一个单播信息,即直接向租用网络参数的服务器发送)。如果服务器是可用的,通常回送一个ack信息,同意客户端的请求,客户端继续使用现有ip地址,并更新其租期;如果服务器是不可用的,通常回送一个nak信息,客户端可以继续使用现有ip地址,但不更新其租期。
  重新捆绑阶段:如果客户端在租用期达到出租时间的50%时,更新租约不成功,当租用期达到出租时间的近87.5%以上时,客户端会再次试图更新租用期。如果服务器是可用的,通常回送一个ack信息,同意客户端的请求,客户端继续使用现有ip地址,并更新其租期;如果服务器是不可用的,通常回送一个nak信息,客户端可以继续使用现有ip地址,但不更新其租期,直到客户端租约已满,然后一切从头开始。

  二、dhcp欺骗原理
  从dhcp工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台dhcp服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的dhcp服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用dhcp的网络中,基本上都会采用dhcp中继,这样的话,本网络的非授权dhcp服务器一般都会先于其余网络的授权dhcp服务器的应答(由于网络传输的延迟),在这样的应用中,dhcp欺骗更容易完成。
  三、dhcp欺骗防范
  防范原理:为了防止dhcp欺骗,只要不让非授权的的dhcp服务器的应答通过网络即可,目前网络基本都采用交换机直接到桌面,并且交换机的一个端口只接一台计算机,因此,可以在交换机上做控制,只让合法的dhcp应答通过交换机,阻断非法的应答,从而防止dhcp欺骗,并且对用户的计算机不用做任何的改变。
  1.防范方法:在交换机上启用dhcp snooping功能
  dhcp snooping通过建立和维护dhcp snooping绑定表并过滤不可信任的dhcp信息来防止dhcp欺骗。
  dhcp snooping截获交换机端口的dhcp应答报文,建立一张包含有用户mac地址、ip地址、租用期、vlan id、交换机端口等信息的一张表,并且dhcp snooping还将交换机的端口分为可信任端口和不可信任端口,当交换机从一个不可信任端口收到dhcp服务器的报文时,比如dhcp0ffer报文、dhcpack报文、dhcpnak报文,交换机会直接将该报文丢弃;对信任端口收到的dhcp服务器的报文,交换机不会丢弃而直接转发。一般将与用户相连的端口定义为不可信任端口,而将与dhcp服务器或者其他交换机相连的端口定义为可信任端口,也就是说,当在一个不可信任端口连接有dhcp服务器的话,该服务器发出的报文将不能通过交换机的端口。因此只要将用户端口设置为不可信任端口,就可以有效地防止非授权用户私自设置dhcp服务而引起的dhcp欺骗。
  2.实现步骤(用cisco思科的交换机为例):
  (1)在交换机的全局配置模式中启用dhcp snooping
  交换机名(config)#ip dhcp snooping
  (2)在交换机的全局配置模式中开启需要启用dhcp snooping的vlan
  交换机名(config)#ip dhcp snooping vlan vlan号
  (3)在端口配置子模式中将授权dhcp服务器所连的端口设为信任端口(缺省启用dhcp snooping的vlan所在端口都是非信任端口)
  交换机名(config-if)#ip dhcp snooping trust
  四、结束语
  在采用dhcp方式分配网络参数的网络中,dhcp欺骗是存在的。因此,在网络中一定要采用相应的措施来防止dhcp欺骗,否则,将会为网络管理员带来许多的不便,违背了采用dhcp的主要原因(为管理带来方便)。
  
  参考文献:
  [1]周明天等:tcp/ip网络原理与技术.清华大学出版社,1993年
  [2]张卫等:计算机网络工程.清华大学出版社,2004年
  [3]张巧红等:dhcp技术在清华大学校园网中的应用.计算机工程与应用,2001年10期
本文链接:http://www.qk112.com/lwfw/guanlilunwen/dianzishangwuguanlilunwen/39875.html

论文中心更多

发表指导
期刊知识
职称指导
论文百科
写作指导
论文指导
论文格式 论文题目 论文开题 参考文献 论文致谢 论文前言
教育论文
美术教育 小学教育 学前教育 高等教育 职业教育 体育教育 英语教育 数学教育 初等教育 音乐教育 幼儿园教育 中教教育 教育理论 教育管理 中等教育 教育教学 成人教育 艺术教育 影视教育 特殊教育 心理学教育 师范教育 语文教育 研究生论文 化学教育 图书馆论文 文教资料 其他教育
医学论文
医学护理 医学检验 药学论文 畜牧兽医 中医学 临床医学 外科学 内科学 生物制药 基础医学 预防卫生 肿瘤论文 儿科学论文 妇产科 遗传学 其他医学
经济论文
国际贸易 市场营销 财政金融 农业经济 工业经济 财务审计 产业经济 交通运输 房地产经济 微观经济学 政治经济学 宏观经济学 西方经济学 其他经济 发展战略论文 国际经济 行业经济 证券投资论文 保险经济论文
法学论文
民法 国际法 刑法 行政法 经济法 宪法 司法制度 法学理论 其他法学
计算机论文
计算机网络 软件技术 计算机应用 信息安全 信息管理 智能科技 应用电子技术 通讯论文
会计论文
预算会计 财务会计 成本会计 会计电算化 管理会计 国际会计 会计理论 会计控制 审计会计
文学论文
中国哲学 艺术理论 心理学 伦理学 新闻 美学 逻辑学 音乐舞蹈 喜剧表演 广告学 电视电影 哲学理论 世界哲学 文史论文 美术论文
管理论文
行政管理论文 工商管理论文 市场营销论文 企业管理论文 成本管理论文 人力资源论文 项目管理论文 旅游管理论文 电子商务管理论文 公共管理论文 质量管理论文 物流管理论文 经济管理论文 财务管理论文 管理学论文 秘书文秘 档案管理
社科论文
三农问题 环境保护 伦理道德 城镇建设 人口生育 资本主义 科技论文 社会论文 工程论文 环境科学