示例:防范恶意 DHCP 服务器攻击
在恶意 DHCP 服务器攻击中,攻击者将恶意服务器引入网络,允许它向网络的 DHCP 客户端提供 IP 地址租约,并将自己分配为网关设备。
此示例介绍如何将 DHCP 服务器接口配置为不受信任,以保护交换机免受恶意 DHCP 服务器的侵害:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机或一台 QFX3500 交换机
对于 EX 系列交换机,Junos OS 9.0 或更高版本,或者对于 QFX 系列,Junos OS 12.1 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置不受信任的 DHCP 服务器接口以减轻恶意 DHCP 服务器攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在 VLAN 上启用 DHCP 侦听。
已在交换机上配置VLAN。查看适用于您平台的任务:
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受恶意 DHCP 服务器攻击。
此示例说明如何在 EX3200-24P 交换机和 QFX3500 交换机上显式配置不受信任的接口。 图 1 说明了此示例的拓扑结构。
拓扑学
的网络拓扑
此示例的拓扑组件如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX3200-24P、24 个端口(8 个 PoE 端口)或一台 QFX3500 交换机 |
VLAN 名称和 ID |
员工 VLAN,标记 20 |
VLAN 子网 |
192.0.2.16/28 192.0.2.17 到 192.0.2.30192.0.2.31 是子网的广播地址 |
员工 VLAN 中的接口 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上的安全端口访问已激活。
VLAN 员工 VLAN 上已启用 DHCP 侦听。
恶意 DHCP 服务器连接到交换机的接口(端口)当前受信任。
配置
要将 DHCP 服务器接口配置为不受信任,因为该接口正由恶意 DHCP 服务器使用,请执行以下操作:
程序
CLI 快速配置
要快速将恶意 DHCP 服务器接口设置为不受信任,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
分步过程
要将 DHCP 服务器接口设置为不受信任:
指定不允许从哪个接口(端口)发送 DHCP 响应:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}