压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　DHCP spoofing 攻擊，又叫DHCP耗竭攻擊，屬于DDOS攻擊的一種，能夠使DHCP服務(wù)器沒(méi)有可分配的DHCP的地址，造成DHCP地址池枯竭。從而使網(wǎng)絡(luò)內(nèi)正常主機(jī)無(wú)可分配的IP地址。同時(shí)，黑客利用冒充的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過(guò)修改的DNS服務(wù)器地址，引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，這種攻擊的危害是很大。

　　攻擊原理：

　　通常DHCP服務(wù)器通過(guò)檢查客戶端發(fā)送的DHCP請(qǐng)求報(bào)文中的CHADDR（也就是Client MAC address）字段來(lái)判斷客戶端的MAC地址。正常情況下該CHADDR字段和發(fā)送請(qǐng)求報(bào)文的客戶端真實(shí)的MAC地址是相同的。攻擊者可以利用偽造MAC的方式發(fā)送DHCP請(qǐng)求，或者攻擊者不修改DHCP請(qǐng)求報(bào)文的源MAC地址，而是修改DHCP報(bào)文中的CHADDR字段來(lái)實(shí)施攻擊。

　　由于DHCP服務(wù)器認(rèn)為不同的CHADDR值表示請(qǐng)求來(lái)自不同的客戶端，所以攻擊者可以通過(guò)大量發(fā)送偽造CHADDR的DHCP請(qǐng)求，導(dǎo)致DHCP服務(wù)器上的地址池被耗盡，從而無(wú)法為其他正常用戶提供網(wǎng)絡(luò)地址，這是一種DHCP耗竭攻擊。DHCP耗竭攻擊可以是純粹的DOS攻擊，也可以與偽造的DHCP服務(wù)器配合使用。當(dāng)正常的DHCP服務(wù)器癱瘓時(shí)，攻擊者就可以建立偽造的DHCP服務(wù)器來(lái)為局域網(wǎng)中的客戶端提供地址，使它們將信息轉(zhuǎn)發(fā)給準(zhǔn)備截取的惡意計(jì)算機(jī)。甚至即使DHCP請(qǐng)求報(bào)文的源MAC地址和CHADDR字段都是正確的，但由于DHCP請(qǐng)求報(bào)文是廣播報(bào)文，如果大量發(fā)送的話也會(huì)耗盡網(wǎng)絡(luò)帶寬，形成另一種拒絕服務(wù)攻擊。

　　解決辦法：

　　1、在交換機(jī)端口上，開(kāi)啟 dhcp snooping功能，對(duì)于請(qǐng)于mac和CHADDR中的mac進(jìn)行檢驗(yàn)，發(fā)現(xiàn)不一致就丟棄數(shù)據(jù)包

　　2、顯示請(qǐng)求速率

　　3、在交換機(jī)端口上限制mac地址數(shù)量

　　另外，在網(wǎng)絡(luò)中搭建DHCP服務(wù)器將可能造成2種危害

　　1、導(dǎo)致網(wǎng)絡(luò)混亂，分配ip地址無(wú)法用

　　2、例如黑客利用冒充的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過(guò)修改的DNS服務(wù)器地址，在用戶毫無(wú)察覺(jué)的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，這種攻擊的危害是很大。

　　以上情況，可以通過(guò)在交換機(jī)上設(shè)置DHCP信任端口解決，對(duì)于其他非信任的交換機(jī)端口發(fā)來(lái)的dchp offer包進(jìn)行丟棄。

    文章來(lái)源：http://2042617.blog.51cto.com/2032617/1599835