DHCP安全問題及防范措施--精選文檔

1、 DHCP安全問題及防范措施 摘 要：現(xiàn)代社會是一個被網(wǎng)絡包圍的社會，上網(wǎng)成為現(xiàn)代人的生活基本需求，網(wǎng)絡也成為現(xiàn)代企業(yè)的基本生產(chǎn)工具之一。在這個大背景下，有限的IP網(wǎng)絡地址資源分配成為制約網(wǎng)絡信息發(fā)展的障礙，引入DHCP（動態(tài)主機配置協(xié)議）服務成為重要的解決手段，但是DHCP協(xié)議在安全上存在的漏洞使得在使用DHCP服務器為主機配置網(wǎng)絡地址和參數(shù)時面臨威脅。文章對這些DHCP安全問題和防范措施進行了探討。 關鍵詞：DHCP；安全問題；防范措施 中圖分類號：TP393 文獻標識碼：A 文章編號：1006-8937（2014）8-0070-02 1 DHCP的安全問題 作為允許無盤工作站連接到網(wǎng)絡并

2、使之自動獲取一個IP地址的BOOTP協(xié)議的擴展之一，DHCP（動態(tài)主機分配協(xié)議）由兩個基本部分組成，一部分是向網(wǎng)絡主機傳送專用的配置信息，一部分是給主機分配網(wǎng)絡地址。DHCP技術很好解決了IP地址匱乏的現(xiàn)實問題，同時還解決了移動計算機迅速獲取IP地址的技術難題，為網(wǎng)絡信息的發(fā)展做出了重要的貢獻。但是由于在設計DHCP時更多的考慮是網(wǎng)絡連接的便利性，存在一定的安全漏洞，其中主要的有以下幾種： DHCP在設計上不具有任何防御惡意主機的功能。隨著帶有DHCP功能家用路由器的大量使用，使用不當?shù)脑捑涂赡軐⑦@些路由器轉(zhuǎn)變?yōu)镈HCP服務器，這些所謂的DHCP服務器可能對外發(fā)布虛假網(wǎng)關地址、IP地址池甚至是

3、錯誤的DNS服務器信息，如果這些非法DHCP指定的DNS服務器被蓄意修改，就有可能將用戶引導到木馬網(wǎng)站、虛假網(wǎng)站，盜竊用戶賬號和密碼，威脅用戶的信息安全。 DHCP與客戶端相互之間沒有認證機制，自身沒有訪問控制。由于DHCP可以方便的為網(wǎng)絡中的新用戶配置IP地址和參數(shù)，一個非法的客戶可以通過偽裝成合法的用戶來申請IP地址和網(wǎng)絡參數(shù)，避開網(wǎng)絡安全檢查，實現(xiàn)“盜用服務”，導致網(wǎng)內(nèi)信息的泄露。另外，非法用戶還可以通過“拒絕資源”攻擊的方式，例如耗盡有效地址、CPU或者網(wǎng)絡資源等，癱瘓蓄意攻擊的網(wǎng)絡。 DHCP在安全方面僅僅提供了有限的輔助工具來對分發(fā)的IP地址進行管理和維護，不具有將地址和用戶聯(lián)合起

4、來的復雜管理功能，使得網(wǎng)絡管理員無法對IP沖突或者流氓IP地址進行有效、快速的認證和網(wǎng)絡跟蹤。 2 防范DHCP安全問題的防范措施 DHCP安全的威脅主要有三種，一是人為的無意失誤，例如用戶賬號的無意識泄露；二是人為的惡意攻擊，例如通過主動或者被動的攻擊方式來獲取網(wǎng)絡信息的計算機犯罪行為等；三是網(wǎng)絡軟件的漏洞和“后門”。例如網(wǎng)絡軟件編程人員為了自便設置的“后門”被黑客察覺導致的信息泄露等。對DHCP安全問題的防范可以從以下三個方面來進行防范。 2.1 網(wǎng)絡入侵檢測 網(wǎng)絡入侵檢測（網(wǎng)絡實時監(jiān)控）技術利用專門的網(wǎng)絡監(jiān)控軟件或者硬件對網(wǎng)絡流量進行監(jiān)控、分析、預警以及處理。有效的網(wǎng)絡入侵檢測部件通過對

5、網(wǎng)絡上使用的各種網(wǎng)絡協(xié)議進行分析，并和自身的網(wǎng)絡入侵特征庫進行對比，從而發(fā)現(xiàn)各種網(wǎng)絡攻擊行為。網(wǎng)絡入侵檢測部件對網(wǎng)絡攻擊行為的側(cè)重點是發(fā)現(xiàn)，并不能預防，所以還存在一定的缺陷。 2.2 訪問控制 通過對用戶訪問行為的控制，可以阻止未經(jīng)允許的用戶有意或者無意獲取到被保護網(wǎng)段內(nèi)的信息和數(shù)據(jù)。訪問控制技術是網(wǎng)絡安全防范保護的主要技術，它通過入網(wǎng)訪問、網(wǎng)絡權限設置、目錄級以及屬性控制等手段來決定誰可以訪問系統(tǒng)以及系統(tǒng)的何種資源、對資源的使用方式等。 入網(wǎng)訪問控制。入網(wǎng)訪問控制是網(wǎng)絡的第一層訪問控制。一般分為三個步驟：登陸用戶名的識別和驗證、登陸用戶的口令識別與驗證、登陸用戶賬號的缺省限制檢查。網(wǎng)絡管理員

6、通過對用戶賬號的控制實現(xiàn)對用戶訪問特定網(wǎng)絡的時間、方式的權限。 用戶網(wǎng)絡權限的控制。通過對用戶或者用戶組賦予一定的訪問權限，例如對網(wǎng)絡目錄、子目錄、文件以及其他資源的訪問，對用戶或者用戶組進行分類管理，一是特殊用戶，系統(tǒng)管理員；二是一般用戶，按照實際需要分配操作權限；三是審計用戶，對網(wǎng)絡安全控制與資源使用進行審計的賬戶。 網(wǎng)絡目錄級的訪問控制。網(wǎng)絡通過控制用戶對目錄以及目錄下的子目錄和文件的創(chuàng)建、刪除、修改、存取控制等權限，達到有效控制用戶對服務器資源的訪問權限，加強網(wǎng)絡以及服務器的安全性。 網(wǎng)絡屬性的訪問安全控制。屬性安全控制是在權限安全控制上的進一步防范措施。屬性設置可以覆蓋任何已經(jīng)指定的

7、受托著指派的有效權限。通過網(wǎng)絡屬性的安全控制可以保護重要目錄和文件，避免文件或者目錄的誤刪除、修改等。 網(wǎng)絡服務器的訪問控制。主要措施是設置口令密碼對服務器控制臺進行鎖定，防止非法用戶對重要信息和數(shù)據(jù)進行修改、刪除、破壞；同時還可以設置服務器登陸的時間、方式以及服務器關閉的時間間隔。 網(wǎng)絡的監(jiān)測和鎖定控制。對于非法用戶試圖進入網(wǎng)絡的行為進行監(jiān)測，并通過服務器發(fā)出圖形、文字以及聲音等形式的報警信息，對于非法訪問的次數(shù)達到一定值是可以對該賬號進行自動鎖定。 2.3 DHCP與客戶端的相互認證 DHCP協(xié)議在設計之初存在無法對消息和實體進行認證的缺陷，現(xiàn)在通過DHCP認證機制已經(jīng)可以實現(xiàn)相互之間的認

8、證。DHCP消息認證機制在不改變原有DHCP協(xié)議的前提下，通過增加一個DHCP消息選項碼來實現(xiàn)DHCP服務器與客戶端之間的認證，另外，通過在選項碼中定義不同的認證方法，使得消息認證的實用性、針對性更強，具有良好的擴展性。 在認證技術中采用的消息認證碼，又稱為MAC，它是通過假設通信雙方共享密匙，并利用這個密匙通過不同的算法來生成一個固定長度的短數(shù)據(jù)塊（MAC），發(fā)送消息的一方將消息和MAC一起發(fā)送給接收消息的一方，接收方用相同的密匙進行計算也得到一個MAC，通過兩個MAC進行比對來驗證消息的安全性。通過在DHCP服務器向客戶主機分配IP地址時增加一個檢查主機的MAC地址的過程，可以有效杜絕非法用戶使用內(nèi)部DHCP服務器登陸的可能。 3 結 語 DHCP技術較好的解決了IP地址資源匱乏以及移動計算機上網(wǎng)的IP地址分配問題，但在方便的同時也給網(wǎng)絡帶來了一些安全問題。通過加強網(wǎng)絡入侵檢測、網(wǎng)絡訪問控制以及建立起DHCP服務器與客戶端之間的認證系統(tǒng)可以有效防范DHCP技術缺陷所可能引發(fā)的安全問題。 參考文獻： 1 黃菊.