論ＤＨＣＰ網絡協議的安全性問題與解決

摘要:DHCP技術可以有效地解決目前IP地址資源不足和無線網絡用戶的移動性，并極大地減輕大型網絡管理員的工作量，有利于快速地搭建一個大型網絡或修改其網絡配置。但由于DHCP協議在設計時未考慮安全的因素，在使用DHCP服務器為主機配置網絡地址和參數的網絡中面臨著很多DHCP威脅，所以對DHCP安全性的研究具有重大意義。該文筆者即圍繞DHCP網絡協議的安全性問題展開集中討論研究，包括歸納DHCP網絡安全的主要威脅、提出了消除威脅的策略建議、用對比的方式挖掘減少威脅的方法以及安全實現。

關鍵詞:DHCP (動態主機配置協議);安全性;網絡協議;解決

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)15-3886-02

On the DHCP Network Protocol Security Problems and Solutions

OU Yong-ying

(Guangdong Institute of Science and Technology，Guangzhou 519090， China)

Abstract: DHCP technology can effectively solve the problem of lack of IP address resource and mobile wireless network. It greatly reduce the workload of large-scale network administrator， and help to build a large network quickly or modify their network configuration. However， because of DHCP protocol does not take into account the design of safety factors， in the use of DHCP server configuration for the host network address and network parameters are faced with the thread of DHCP. So the research of the safety of DHCP is of great significance. The author of this article focus on the DHCP network protocol security， including major threat to DHCP network safety and put forward strategic proposals to eliminate the threat，and contrast the way to reduce the threat of mining methods，and security implementation.

Key words: DHCP; security; network protocol; solution

DHCP，即動態主機配置協議，為一個客戶機/服務器協議，已經廣泛應用于各種局域網。DHCP能集中放置并動態分配配置信息，包括IP地址。

1 DHCP網絡安全的主要威脅

當前隨著計算機和通信技術的發展，迫切需要提供一個可移動計算機的環境，使得一臺計算機能從一個網絡中移到另一個網絡中。為支持這種環境，DHCP作為一種主機集中式管理的協議出現。

DHCP服務器可以方便地為網絡中的新用戶配置IP地址和網絡參數，這給經常需要移動的合法用戶帶來了很多的方便。但同時也帶來了不安全因素，很多非授權用戶或者非法用戶也會乘虛而入。因此對于一個DHCP服務器的具體威脅是一個非法的客戶偽裝成為一個合法客戶來申請IP地址和網絡參數。這樣的動機可能是“盜用服務”，或者是為了避開對非法使用的檢查。這樣有可能導致信息泄密。

2 消除DHCP網絡威脅的對策

2.1 消除DHCP威脅結合的網絡安全技術

1) 網絡入侵檢測技術:通過硬件或軟件對網絡上的數據流進行實時檢查，并與系統中的入侵特征數據庫進行比較，一旦發現有被攻擊的跡象，立刻根據用戶所定義的動作做出反應，如切斷網絡連接，或通知防火墻系統對訪問控制策略進行調整，將入侵的數據包過濾掉等 。2)訪問控制:訪問控制是網絡安全防范和保護的主要技術，決定了誰能夠訪問系統，能訪問系統的何種資源以及如何使用這些資源。訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權、授權核查、日志和審計。3)認證技術:在單條消息的情況下，認證服務功能是向接收方保證消息來自所聲稱的發送方。對于正在進行的交互，首先，在連接的初始化階段，認證服務保證兩個實體是可信的。其次，認證服務必須保證連接不受第三方如下方式的干擾:第三方能夠偽裝成為兩個合法實體中的一個進行非授權傳輸或接收。

2.2 消除DHCP威脅的對策

1) 主動檢測非法服務器:首先，當網絡中一個偽服務器建立后，對網絡的危害是巨大的，可導致整個網絡的癱瘓。網路管理員通常是檢查導致網絡癱瘓的各個細節，都一無所獲，很難想到罪魁禍首是偽服務器 。最后排除了各個原因，即使確定了網絡中存在一個偽服務器，但如果在一個龐大的企業網中確定它的位置也是困難的。那么不如化被動為主動，建立網絡入侵監測程序主動檢測網絡中是否有偽服務器的建立，對網絡中的DHCP服務器的使用情況做到心中有數。其次，主動檢測模塊是一個主動檢測非法服務器的功能，它可以配置在Client端，合法服務器端以及DHCP中繼端。2)檢測MAC地址:為了對非法用戶有效地遏制，可以在DHCP服務器與客戶主機交互的過程中增加一些限制條件。例如在DHCP服務器向客戶主機分配IP地址時增加檢查主機的MAC地址的過程 。如果客戶主機的MAC地址是合法的，則分配，否則拒絕。這是因為在客戶主機向DHCP服務器申請IP地址時，服務器可以在IP數據包中解析出主機的MAC地址，并且MAC地址是唯一的。

3 減少DHCP威脅幾種方法的比較

1) 檢測偽服務器:可以降低偽服務器對網絡的破壞程度，這由檢測的間隔時段長度來決定。但是因為客戶主機在向DHCP服務器申請網絡地址和參數時發DISCOVER消息是廣播方式，檢測模塊應該在每一個物理子網內部署，并且確定合適的檢測間隔時段的長度是困難的，最后即使網絡中存在檢測模塊但還是不能完全防止偽服務器的運行。

2) 檢查客戶MAC地址:當非法用戶將其MAC地址修改為合法的MAC地址時，檢查MAC地址便無法實現對此種侵入的防范;另外，該方法不僅要增加檢查MAC地址的過程，而且要增加新用戶注冊的過程，附加注冊軟件，從而加大企業成本。

3) 消息認證機制:消息認證機制是對以前DHCP協議的完善，與原來的DHCP技術很好的結合在一起，與客戶申請IP地址的過程很好的統一在一起:不僅能夠對DHCP消息認證，也能對DHCP實體認證，極大的減少了DHCP威脅 。

4) 三種方法的比較分析及選擇:筆者根據三種方法自身的特點，對檢測偽服務器、檢查客戶的MAC地址和消息認證機制三種方法進行了模擬比較分析。如圖1所示。其中:DHCP服務器作為一個daemon在UDP的67號端口監聽;然后根據options中的DHCP message type調用相應的子程序進行處理。如圖2所示。

根據對比分析，得出表1的結論。

筆者根據實際情況，提出一種較為全面地解決安全問題的消息認證機制:1)系統結構:集合了LDAP基本用戶認證的DHCP安全系統包括8個部分，增加了認證服務器和認證客戶端，在認證服務器處設立有LDAP服務器用于用戶認證，還有用于實時監測的檢測服務器，并且在內部網與外部網的接口處設立了一個具有功能和過濾功能的網關。2)系統的實現:第一步:合法用戶在服務端的認證服務器上注冊用戶名和密碼，同時通過程序控制將用戶名和密碼錄入服務器中供以后認證使用;第二步:用戶通過客戶端從服務器獲得一個地址;第三步:用戶通過認證客戶端由認證服務器進行認證。

4 應用與安全實踐

該文筆者以M2024交換機為例，按命令行方式在路由器上配置DHCP代理服務。登錄M2024交換機以后，進入管理界而的根菜單。以Windows Server 2003的服務器部署DHCP服務，并且為這臺服務器指定了一個靜態IP地址。步驟如下:1) 依次單擊“開始→管理工具→DHCP”，打開DHCP控制臺窗口。在左窗格中右擊DHCP服務器名稱，執行“新建作用域”命令。2)、在打開的“新建作用域向導”對話框中單擊“下一步”按鈕，打開“作用域名”向導頁。在“名稱”框中為該作用域鍵入一個名稱，單擊“下一步”按鈕。3) 打開“IP地址范圍”向導頁，分別在“起始IP地址”和“結束IP地址”編輯框中鍵入事先確定的IP地址范圍。接著定義子網掩碼，以確定IP地址中用于“網絡/子網ID”的位數。根據實際情況本例將“長度”值設為“24”，單擊“下一步”按鈕。4) 在打開的“添加排除”向導頁中可以指定排除的IP地址或IP地址范圍。在“起始IP地址”編輯框中鍵入排除的IP地址并單擊“添加”按鈕。5) 在打開的“租約期限”向導頁中，將客戶端獲取的IP地址使用期限限制為2大。6) 打開“配置DHCP選項”向導頁，保持選中“是，現在配置這些選項”單選框并單擊“下一步”按鈕。在打開的“路由器”向導頁中根據實際情況鍵入網關地址并依次單擊“添加*下一步”按鈕。7) 在打開的“域名稱和DNS服務器”向導頁中鍵入DNS服務器名稱和IP地址。8) 重復1～7的步驟完成的作用域的配置。

在這種安全性比較高的DHCP網絡中，檢測到非法用戶，就被阻止訪問外部網絡。比如:一個用戶沒有通過身份認證，網關中就不會記錄他得到的地址，同時可以限制他對外部網絡的訪問。檢測服務器監測在局域網內部傳輸的包中的地址，非法用戶也能由此檢測出來 。如果一臺或多臺計算機同時使用相同的IP地址，而只有一臺合法的可以訪問外部網絡，這時，即使非法用戶使用了合法的IP地址，它仍然可以通過本地文件中的key ID檢測出來，或者由檢測服務器通過檢查包中的MAC地址檢測出用戶的非法性，并采取相應的動作。

另外，DHCP服務器集中管理對更換網絡地址也非常方便，管理員可以根據需要在很短時間內對網絡IP地址進行切換，降低了網絡IP地址切換的工作時間和切換成本，減少了網絡IP地址切換給用戶帶來的麻煩。

參考文獻:

[1] 宋勁松.網絡入侵檢測[M].北京:國防工業出版社，2008，55-57.

[2] 牛云.數據備份與災難恢復[M].北京:機械工業出版社，2007，122.

[3] 李方敏，盧錫成，汪鐘明.主機動態配置協議(DHCP)[J].湘潭礦業學院學報，2008(7):4.

[4] 趙曉峰.淺析DHCP[J].天中學刊，2008(10):84.

[5] 王成明.DHCP使Internet地址有效利用的協議[J].計算機應用技術，2008(9):33-36.