DHCP安全問題及防范措施

1、編輯版wordDHCP安全問題及防范措施摘 要：現(xiàn)代社會是一個被網絡包圍的社會， 上 網成為現(xiàn)代人的生活基本需求，網絡也成為現(xiàn)代企業(yè) 的基本生產工具之一。 在這個大背景下， 有限的IP網 絡地址資源分配成為制約網絡信息發(fā)展的障礙，引入DHCP（動態(tài)主機配置協(xié)議）服務成為重要的解決手 段，但是DHCP協(xié)議在安全上存在的漏洞使得在使用DHCP服務器為主機配置網絡地址和參數(shù)時面臨威 脅。文章對這些DHCP安全問題和防范措施進行了探 討。關鍵詞：DHCP;安全問題；防范措施 中圖分類號：TP393文獻標識碼：A文章編號：1006-8937（2014）8-0070-021 DHCP的安全問題 作為允許無

2、盤工作站連接到網絡并使之自動獲取 一個IP地址的BOOTP協(xié)議的擴展之一，DHCP（動 態(tài)主機分配協(xié)議）由兩個基本部分組成，一部分是向 網絡主機傳送專用的配置信息， 一部分是給主機分配 網絡地址。DHCP技術很好解決了IP地址匱乏的現(xiàn)實 問題，同時還解決了移動計算機迅速獲取IP地址的技 術難題，為網絡信息的發(fā)展做出了重要的貢獻。但是 由于在設計DHCP時更多的考慮是網絡連接的便利 性，存在一定的安全漏洞，編輯版word其中主要的有以下幾種：1DHCP在設計上不具有任何防御惡意主機的功 能。隨著帶有DHCP功能家用路由器的大量使用，使 用不當?shù)脑捑涂赡軐⑦@些路由器轉變?yōu)镈HCP服務 器，這些所謂

3、的DHCP服務器可能對外發(fā)布虛假網關 地址、IP地址池甚至是錯誤的DNS服務器信息，如 果這些非法DHCP指定的DNS服務器被蓄意修改， 就有可能將用戶引導到木馬網站、虛假網站，盜竊用 戶賬號和密碼，威脅用戶的信息安全。2DHCP與客戶端相互之間沒有認證機制，自身 沒有訪問控制。 由于DHCP可以方便的為網絡中的新 用戶配置IP地址和參數(shù)，一個非法的客戶可以通過偽 裝成合法的用戶來申請IP地址和網絡參數(shù)， 避開網絡 安全檢查，實現(xiàn)“盜用服務” ，導致網內信息的泄露。 另外，非法用戶還可以通過 “拒絕資源” 攻擊的方式， 例如耗盡有效地址、CPU或者網絡資源等，癱瘓蓄意 攻擊的網絡。3DHCP在

4、安全方面僅僅提供了有限的輔助工具 來對分發(fā)的IP地址進行管理和維護， 不具有將地址和 用戶聯(lián)合起來的復雜管理功能，使得網絡管理員無法對IP沖突或者流氓IP地址進行有效、快速的認證和 網絡跟蹤。2防范DHCP安全問題的防范措施DHCP安全的威脅主要有三種，一是人為的無意 失誤，編輯版word例如用戶賬號的無意識泄露；二是人為的惡意 攻擊，例如通過主動或者被動的攻擊方式來獲取網絡 信息的計算機犯罪行為等； 三是網絡軟件的漏洞和 “后 門”。例如網絡軟件編程人員為了自便設置的“后門” 被黑客察覺導致的信息泄露等。 對DHCP安全問題的 防范可以從以下三個方面來進行防范。2.1網絡入侵檢測 網絡入侵檢

5、測（網絡實時監(jiān)控）技術利用專門的 網絡監(jiān)控軟件或者硬件對網絡流量進行監(jiān)控、分析、預警以及處理。有效的網絡入侵檢測部件通過對網絡 上使用的各種網絡協(xié)議進行分析，并和自身的網絡入 侵特征庫進行對比，從而發(fā)現(xiàn)各種網絡攻擊行為。網 絡入侵檢測部件對網絡攻擊行為的側重點是發(fā)現(xiàn)，并 不能預防，所以還存在一定的缺陷。2.2訪問控制 通過對用戶訪問行為的控制，可以阻止未經允許 的用戶有意或者無意獲取到被保護網段內的信息和數(shù)據(jù)。訪問控制技術是網絡安全防范保護的主要技術， 它通過入網訪問、網絡權限設置、目錄級以及屬性控 制等手段來決定誰可以訪問系統(tǒng)以及系統(tǒng)的何種資 源、對資源的使用方式等。1入網訪問控制。入網訪問

6、控制是網絡的第一層 訪問控制。一般分為三個步驟：登陸用戶名的識別和 驗證、登陸用戶的口令識別與驗證、登陸用戶賬號的 缺省限制檢查。網編輯版word絡管理員通過對用戶賬號的控制實 現(xiàn)對用戶訪問特定網絡的時間、方式的權限。2用戶網絡權限的控制。通過對用戶或者用戶組 賦予一定的訪問權限，例如對網絡目錄、子目錄、文 件以及其他資源的訪問，對用戶或者用戶組進行分類 管理，一是特殊用戶，系統(tǒng)管理員；二是一般用戶， 按照實際需要分配操作權限；三是審計用戶，對網絡 安全控制與資源使用進行審計的賬戶。3網絡目錄級的訪問控制。網絡通過控制用戶對 目錄以及目錄下的子目錄和文件的創(chuàng)建、 刪除、修改、 存取控制等權限，

7、達到有效控制用戶對服務器資源的 訪問權限，加強網絡以及服務器的安全性。4網絡屬性的訪問安全控制。屬性安全控制是在 權限安全控制上的進一步防范措施。屬性設置可以覆 蓋任何已經指定的受托著指派的有效權限。通過網絡 屬性的安全控制可以保護重要目錄和文件，避免文件或者目錄的誤刪除、修改等5網絡服務器的訪問控制。主要措施是設置口令 密碼對服務器控制臺進行鎖定，防止非法用戶對重要 信息和數(shù)據(jù)進行修改、刪除、破壞；同時還可以設置 服務器登陸的時間、方式以及服務器關閉的時間間隔。6網絡的監(jiān)測和鎖定控制。對于非法用戶試圖進 入網編輯版word絡的行為進行監(jiān)測，并通過服務器發(fā)出圖形、文 字以及聲音等形式的報警信息

8、，對于非法訪問的次數(shù) 達到一定值是可以對該賬號進行自動鎖定。2.3 DHCP與客戶端的相互認證DHCP協(xié)議在設計之初存在無法對消息和實體進 行認證的缺陷， 現(xiàn)在通過DHCP認證機制已經可以實 現(xiàn)相互之間的認證。DHCP消息認證機制在不改變原 有DHCP協(xié)議的前提下，通過增加一個DHCP消息選 項碼來實現(xiàn)DHCP服務器與客戶端之間的認證， 另外， 通過在選項碼中定義不同的認證方法，使得消息認證 的實用性、針對性更強，具有良好的擴展性。在認證技術中采用的消息認證碼，又稱為MAC， 它是通過假設通信雙方共享密匙，并利用這個密匙通 過不同的算法來生成一個固定長度的短數(shù)據(jù)塊（MAC），發(fā)送消息的一方將消

9、息和MAC起發(fā)送給 接收消息的一方，接收方用相同的密匙進行計算也得 到一個MAC,通過兩個MAC進行比對來驗證消息的 安全性。通過在DHCP服務器向客戶主機分配IP地 址時增加一個檢查主機的MAC地址的過程，可以有 效杜絕非法用戶使用內部DHCP服務器登陸的可能。3結語DHCP技術較好的解決了IP地址資源匱乏以及移 動計編輯版word算機上網的IP地址分配問題， 但在方便的同時也 給網絡帶來了一些安全問題。 通過加強網絡入侵檢測、 網絡訪問控制以及建立起DHCP服務器與客戶端之間 的認證系統(tǒng)可以有效防范DHCP技術缺陷所可能引發(fā) 的安全問題。參考文獻：1黃菊.淺談DHCP在局域網中如何自動獲得IP地址J中國電子商情（科技創(chuàng)新），20