安全隐患及举例

1. IP 地址耗尽攻击：攻击者短时间内大量申请 IP 地址，导致 DHCP 服务器地址池枯竭，合法用户无法获取 IP 地址。例如，恶意程序在局域网内不断发送 DHCP 请求报文。
2. 中间人攻击：攻击者伪装成 DHCP 服务器，向客户端提供错误的网络配置信息，如错误的网关、DNS 服务器地址等，从而拦截、篡改客户端的网络流量。比如，攻击者让客户端将 DNS 服务器指向自己控制的恶意 DNS 服务器，进行域名劫持。
3. DHCP 饿死攻击：攻击者发送大量伪造的 DHCP 请求，占用服务器资源，使合法请求得不到响应。例如，攻击者利用工具生成大量源 MAC 地址随机的 DHCP 请求。

防范措施及原理

1. IP 地址耗尽攻击防范
   • 措施：限制单个 MAC 地址的请求频率，设置 DHCP 服务器地址池监控，当地址即将耗尽时发出警报并采取限流等措施。
   • 原理：限制请求频率可防止单个设备过度占用资源，监控地址池能及时发现异常情况并做出响应，确保地址池有足够地址分配给合法用户。
2. 中间人攻击防范
   • 措施：启用 DHCP Snooping 功能，在交换机上配置信任端口（连接合法 DHCP 服务器的端口）和非信任端口。只有信任端口收到的 DHCP 响应报文才会转发给客户端。
   • 原理：通过信任端口机制，交换机可识别并丢弃来自非法 DHCP 服务器的响应，保证客户端获取到合法的网络配置信息。
3. DHCP 饿死攻击防范
   • 措施：采用端口安全技术，限制端口允许学习的 MAC 地址数量；在 DHCP 服务器上配置 MAC 地址绑定，只对绑定的 MAC 地址提供服务。
   • 原理：端口安全限制 MAC 地址数量可防止大量伪造 MAC 地址的请求，MAC 地址绑定确保只有授权设备能获取 IP 地址，避免资源被恶意占用。