基于單播的DHCP SERVER掃描系統(tǒng)?

侯向?qū)?劉華春

（成都理工大學(xué)工程技術(shù)學(xué)院電子信息與計(jì)算機(jī)工程系 樂山 614007）

基于單播的DHCP SERVER掃描系統(tǒng)?

侯向?qū)?劉華春

（成都理工大學(xué)工程技術(shù)學(xué)院電子信息與計(jì)算機(jī)工程系 樂山 614007）

論文采用單播方式，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)跨網(wǎng)段的DHCP SERVER掃描系統(tǒng)，系統(tǒng)基于多線程技術(shù)，能夠高效地跨網(wǎng)段掃描出校園網(wǎng)中所有的DHCP SERVER，并能根據(jù)預(yù)先的設(shè)置，區(qū)分出合法以及私架的DHCP SERVER，從而極大地方便了校園網(wǎng)絡(luò)的管理。

DHCP SERVER；單播；跨網(wǎng)段；校園網(wǎng)

1 引言

現(xiàn)如今隨著網(wǎng)絡(luò)的迅速發(fā)展以及校園網(wǎng)在廣大高校的日漸普及，各大高校學(xué)生們對(duì)校園網(wǎng)產(chǎn)生了極大的依賴性。但與此同時(shí)，諸多潛在的安全問題也在校園網(wǎng)的運(yùn)行過程中暴露出來。其中，私架DHCP SERVER是造成當(dāng)前校園網(wǎng)絡(luò)混亂的一大原因。

私架DHCP服務(wù)器造成的危害是很大的，對(duì)于校園網(wǎng)的某一個(gè)子網(wǎng)，合法的DHCP服務(wù)器通常情況在該子網(wǎng)外，由于網(wǎng)段內(nèi)的DHCP報(bào)文比網(wǎng)外的傳播的快，如果這個(gè)網(wǎng)段有私架的DHCP服務(wù)器，用戶將會(huì)先獲取這臺(tái)私架DHCP服務(wù)器分配的非法IP，這就會(huì)導(dǎo)致本網(wǎng)段內(nèi)的機(jī)器大面積無法上網(wǎng)，極大地?cái)_亂了正常的網(wǎng)絡(luò)秩序［1］。

目前檢測非法DHCP的方法主要是使用命令行工具和使用國外第三方工具：

1）使用命令行工具——dhcploc.exe。dhcploc是DHCP Server定位工具，用于顯示本網(wǎng)段網(wǎng)中活動(dòng)的DHCP SERVER。

2）使用國外的第三方工具比如DhcpExplore以及Nsasoft Dhcp Explorer等，這些工具都可以定位一個(gè)網(wǎng)段內(nèi)的所有DHCP SERVER。

這兩種方法的缺點(diǎn)顯而易見，首先，它們都是基于廣播的，因此不能跨網(wǎng)段，只能發(fā)現(xiàn)本網(wǎng)段內(nèi)的DHCP SERVER，對(duì)校園網(wǎng)管理來說，幾乎沒有實(shí)用價(jià)值。其次，它們都是被動(dòng)的掃描方式，都是當(dāng)出現(xiàn)問題的時(shí)候才去掃描。最后，它們不能把合法的和非法的DHCP SERVER區(qū)分開來。

針對(duì)上述方法的不足，本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于單播的DHCP SERVER掃描系統(tǒng)，該系統(tǒng)基于主動(dòng)方式，能夠一次性掃描出整個(gè)校園網(wǎng)中所有的DHCP SERVER，并根據(jù)預(yù)先的設(shè)置，能夠區(qū)別出哪些是私架的DHCP SERVER，從而極大地方便了校園網(wǎng)絡(luò)的管理。

2 DHCP協(xié)議概述

2.1 DHCP消息格式

DHCP（Dynamic Host Configuration Protocol）［2～3］消息格式［4］如圖1所示。

圖1 DHCP消息格式

DHCP消息格式中重要選項(xiàng)［4］的含義如表1所示。

表1 DHCP消息格式重要選項(xiàng)的含義

2.2 DHCP工作原理

DHCP的工作原理［5～7］如圖2所示。

圖2 DHCP的工作流程

由圖2可知，客戶端以廣播的方式向本網(wǎng)段發(fā)送DHCP DISCOVER包，如果本網(wǎng)段內(nèi)有DHCP SERVER，并且地址池中有可分配的地址，就以單播的形式向客戶機(jī)發(fā)送OFFER包，其中包括向客戶機(jī)分配的IP地址和相關(guān)配置參數(shù)。

2.3 DHCP Relay

在校園網(wǎng)中，存在很多子網(wǎng)，為了節(jié)省資源，不需要在每個(gè)網(wǎng)段部署DHCP SERVER。由于客戶機(jī)發(fā)送的DISCOVER是廣播消息是不能跨網(wǎng)段的，這就要用到DHCP Relay，DHCP Relay的工作流程［8～11］如圖 3所示。

圖3 DHCP Relay的工作流程

DHCP Relay收到客戶端向本網(wǎng)段中廣播的DHCP DISCOVER報(bào)文后，對(duì)其進(jìn)行適當(dāng)處理后，再以單播形式發(fā)送給指定的位于其它網(wǎng)段上的DHCP SERVER。DHCP SERVER根據(jù)請(qǐng)求報(bào)文中提供的必要信息，從地址池中取出可用地址，然后以單播的形式發(fā)給DHCP Relay。最后，DHCP Relay再將配置信息轉(zhuǎn)發(fā)給客戶端，從而完成對(duì)客戶端IP地址的動(dòng)態(tài)配置。

3 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 設(shè)計(jì)思路

由2.3節(jié)可知，為了實(shí)現(xiàn)跨網(wǎng)段DHCP SERVER掃描，只能采用單播的形式，讓源主機(jī)代替客戶端（可以偽造客戶端）向目的主機(jī)發(fā)送DHCP DISCOVER報(bào)文，如果目的主機(jī)是DHCP SERVER，且與源主機(jī)同網(wǎng)段的地址池中還有未分配的IP地址，DHCP SERVER就從中取出一個(gè)IP地址并封裝到DHCP OFFER報(bào)文中，然后以單播的形式發(fā)送給源主機(jī)，最后在源主機(jī)上解析DHCP OFFER報(bào)文，可以得到DHCP SERVER分配給偽造客戶端（并非源主機(jī)）的IP地址。

因此掃描時(shí)構(gòu)造DHCP DISCOVER報(bào)文尤為重要，由于DHCP協(xié)議是基于UDP的，DHCP數(shù)據(jù)報(bào)要封裝在UDP報(bào)文中，再將UDP報(bào)文封裝在IP報(bào)文中。然后通過原始套接字發(fā)送出去（目的地址可以是本網(wǎng)段，也可以是其它網(wǎng)段），最后偵聽所有網(wǎng)段，如果收到DHCP OFFER報(bào)文，說明對(duì)方就是DHCP SERVER。

3.2 核心算法

為了提高掃描的效率，采用多線程的方式，其中一個(gè)線程用于發(fā)送DHCP DISCOVER報(bào)文；另一個(gè)線程用于偵聽并解析DHCP OFFER報(bào)文。

發(fā)送線程的流程比較簡單，其核心在于DHCP DISCOVER報(bào)文的填充，其中DHCP DISCOVER報(bào)文核心部分填充如下：

dhcpHdr=（DHCP_HEADER*）（buf+sizeof（IPHDR）+sizeof（UDP_HDR））；

dhcpHdr-＞op=0x01； //消息類型為DHCP DISCOVER…

dhcpHdr-＞flags=0x0000；//單播方式

dhcpHdr-＞ciaddr=0x00000000；

dhcpHdr-＞yiaddr=0x00000000；

dhcpHdr-＞siaddr=0x00000000；

dhcpHdr-＞giaddr=inet_addr（SourceIP）；//掃描者本地地址

dhcpHdr-＞chaddr1=0x34333231；//以下6個(gè)字節(jié)為客戶機(jī)的MAC地址

dhcpHdr-＞chaddr2=0x3635；

…

這里要說明的是，SourceIP本應(yīng)是中繼代理的IP地址，在這里借用DHCP Relay的原理，填入掃描者本機(jī)IP地址，這樣如果目的方是DHCP SERVER，并且其地址池有可用地址，就會(huì)向SourceIP（掃描者）發(fā)送DHCP OFFER報(bào)文。6個(gè)字節(jié)的chaddr填充的是一個(gè)偽造的客戶機(jī)MAC地址，也就是說SourceIP代替的是MAC地址為31-32-33-34-35-36的客戶機(jī)向DHCP SERVER請(qǐng)求地址，而DHCP SERVER返回DHCP OFFER包后，SourceIP并不需要轉(zhuǎn)發(fā)給客戶機(jī)，原因有兩點(diǎn)：其一是完全沒有必要，因?yàn)閽呙璧哪康膬H僅為了驗(yàn)證對(duì)方是否是DHCP SERVER。其二是如果轉(zhuǎn)發(fā)的話，DHCP SERVER會(huì)無謂的消耗一個(gè)IP地址。還有一點(diǎn)就是為了確保DHCP SERVER能分到IP地址，就必須偽造一個(gè)特殊的MAC地址，否則如果是一個(gè)常用的MAC地址，DHCP SERVER很可能因?yàn)橹盀槠浞峙溥^IP地址，而不再給其分配IP地址。

接收線程的流程如圖4所示。

其中判斷是否為DHCP OFFER包需要對(duì)DHCP報(bào)文進(jìn)行解析，具體代碼如下：

if（buf［21］==0x43&&buf［23］==0x43&&buf［28］==0x02）

｛

…//從 DHCP OFFER包中取出 siaddr字段（DHCP SERVER的IP地址）

…//從DHCP OFFER包中取出yiaddr字段（分配給偽造客戶機(jī)的IP地址）｝

其中0x02（2）指消息類型為DHCP OFFER報(bào)文，0x43（67）分別為DHCP SERVER和SourceIP的UDP端口號(hào)。

圖4 接收線程的流程

判斷是否合法DHCP SERVER的算法，就是將從DHCP OFFER報(bào)文解析出來的siaddr字段（DHCP SERVER的IP地址）與預(yù)設(shè)的合法的DHCP SERVER集逐一進(jìn)行比較，如果有相同的就為合法的DHCP SERVER，否則為私架的DHCP SERVER。

4 實(shí)驗(yàn)與結(jié)果分析

4.1 實(shí)驗(yàn)環(huán)境及部署

實(shí)驗(yàn)地點(diǎn)為本校校園網(wǎng)，首先在60，77，120及204網(wǎng)段內(nèi)各架設(shè)一臺(tái)DHCP SERVER，此外，學(xué)校的中心DHCP SERVER（192.168.150.208），可以為60，77，120及204網(wǎng)段的客戶機(jī)分配IP地址。

接下來是跨網(wǎng)段DHCP SERVER掃描系統(tǒng)的部署，有3種備選方案可供選擇：

1）部署在某一網(wǎng)段，這樣可以掃描出本網(wǎng)段內(nèi)的DHCP SERVER，以及本網(wǎng)段外且地址池與本網(wǎng)段吻合的DHCP SERVER（不過這種情況，需要配置DHCP Relay Agent，由于技術(shù)有限，一般同學(xué)不會(huì)采用該方法）。顯然對(duì)于網(wǎng)絡(luò)管理員來講，需要掃描是所有網(wǎng)段，因此這種方法并不適用。

2）部署在網(wǎng)段匯集的地方，比如接入到核心交換機(jī)或者核心路由器上，這樣可以掃描所有網(wǎng)段。但通過這些設(shè)備的網(wǎng)絡(luò)流量非常大，偵聽的時(shí)候造成的丟包率很高，所以也不適用。

3）部署在DHCP Relay Agent上，首先，DHCP Relay Agent是網(wǎng)段匯集的設(shè)備；其次，DHCP Relay Agent的主要職責(zé)是為客戶機(jī)分配IP地址，通常情況下網(wǎng)絡(luò)流量比較小，丟包率低，因此是最為理想的部署地點(diǎn)。

4.2 實(shí)驗(yàn)結(jié)果與分析

在DHCP Relay Agent上掃描60～255網(wǎng)段的所有機(jī)器，結(jié)果如圖5所示。從圖中可直觀的看到合法以及私架DHCP SERVER的IP地址，以及這些DHCP SERVER分配給偽造客戶機(jī)的IP地址。

圖5 60～255網(wǎng)段掃描結(jié)果

掃描的同時(shí)，在DHCP Relay Agent上用Ethereal進(jìn)行抓包，由于發(fā)送的DHCP DISCOVER報(bào)文過多，不便于全部展示，這里只抓取發(fā)往目標(biāo)地址192.168.150.208的數(shù)據(jù)包，其中部分DHCP DISCOVER報(bào)文及其解析如圖6所示。

圖6 DHCP Relay Agent上DHCP DISCOVER報(bào)文及其解析

從圖中黑色部分可知192.168.77.3是DHCP Relay Agent的其中一個(gè)接口地址，其它的接口地址還有192.168.204.73、192.168.150.2、192.168.60.200以及192.168.60.200。Bootp Flags發(fā)送方式為Unicast（單播），此外，偽造的客戶機(jī)MAC地址31-32-33-34-35-36也很明顯。

DHCP Relay Agent上部分DHCP OFFER報(bào)文及其解析如圖7所示。

圖7 DHCP Relay Agent上DHCP OFFER報(bào)文及其解析

從黑色解析部分可以看到分配給偽造客戶機(jī)的IP地址是192.168.77.100，緊跟下面是192.168.150.208是DHCP SERVER的IP地址。

最后，在DHCP Relay Agent上用Ethereal抓取發(fā)往目標(biāo)地址192.168.60.25（私架DHCP SERVER）的數(shù)據(jù)包，其中DHCP OFFER報(bào)文及其解析如圖8所示。

圖8 私架DHCP SERVERDHCP OFFER報(bào)文及其解析

從黑色部分的解析可以看出，DHCP SERVER（192.168.60.25）分配給偽造客戶機(jī)的IP地址是192.168.60.10。

5 結(jié)語

總之，本文采用單播方式，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)跨網(wǎng)段的DHCP SERVER掃描系統(tǒng)，該系統(tǒng)基于多線程，能夠高效率的掃描出整個(gè)校園網(wǎng)中所有的DHCP SERVER，并根據(jù)預(yù)先的設(shè)置，能夠區(qū)別出哪些是私架的DHCP SERVER，從而極大地方便了校園網(wǎng)絡(luò)的管理。

［1］劉小華.DHCP在校網(wǎng)應(yīng)用中的安全問題及對(duì)策研究［J］.計(jì)算機(jī)安全，2013（2）：47-50.LIU Xiaohua.DHCP on the web application security problem and countermeasure research［J］.Computer Security，2013（2）：47-50.

［2］何智勇，沈蘇彬，毛燕琴.DHCP協(xié)議優(yōu)化方案研究［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010（9）：6-7.HE Zhiyong，SHEN Subin，MAO Yanqin.DHCP protocol optimization study［J］.Computer technology and development，2010（9）：6-7.

［3］黃小花.淺析DHCP服務(wù)器的運(yùn)行機(jī)制［J］.無線互聯(lián)科技，2015（4）：21-21.HUANG Xiaohua.Operating mechanism of the DHCP server is analysed［J］.Journal of wireless technology，2015（4）：21-21.

［4］王文龍，黃地龍.DHCP協(xié)議深入分析［J］.電腦與電信，2010（4）：45-46.WANG Wenlong，HUANG Dinong.DHCP protocol analysis［J］.Computer and telecom，2010（4）：45-46.

［5］武爽.校園網(wǎng)中DHCP服務(wù)器的應(yīng)用［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）：89-89.WU Shuang.DHCP server in the campus network application［J］.Journal of network security technology and appli-cation，2016（4）：89-89.

［6］陳小中.校園網(wǎng)DHCP故障與解決［J］.福建電腦，2010（10）：167-169.CHEN Xiaozhong.Campus network DHCP failure and solving［J］.Journal of Fujian computer，2010（10）：167-169.

［7］王卓然.DHCP協(xié)議在校園網(wǎng)絡(luò)中的應(yīng)用研究［J］.電子技術(shù)與軟件工程，2016（11）：36-37.WANG Zhuoran.DHCP protocol in the application of the campus network study［J］.Journal of electronic technology and software engineering，2016（11）：36-37.

［8］羅定福.DHCP中繼在路由交換網(wǎng)絡(luò)中的設(shè)計(jì)與應(yīng)用［J］.微型電腦應(yīng)用，2014（2）：48-49.LUO Dingfu.DHCP relay route switching network in the design and application［J］.Microcomputer applications，2014（2）：48-49.

［9］陳加春.淺談DHCP中繼代理的應(yīng)用［J］.科技風(fēng)，2016（12）：117-116.CHEN Jiachun.Introduction to the application of DHCP relay agent［J］.Science and technology of the wind，2016（12）：117-116.

［10］李金翠.DHCPv4中繼系統(tǒng)安全方案設(shè)計(jì)與實(shí)現(xiàn)［D］.武漢：華中科技大學(xué)，2011：34-41.LI Jincui.DHCPv4 relay system security design and implementation［D］.Wuhan：Huazhong university of science and technology，2011：34-41.

［11］韓麗，崔建濤.DHCP中繼代理在虛擬機(jī)上的實(shí)現(xiàn)［J］.太原理工大學(xué)學(xué)報(bào)，2010（2）：163-164.HAN Li，CUI Jiantao.DHCP relay agent in the realization of the virtual machine［J］.Journal of Taiyuan university of technology，2010（2）：163-164.

DHCP SERVER Scanning System Based on Unicast

HOU Xiangning LIU Huachun
（College of Engineering and Technical，Cheng du University of Technology，Leshan 614007）

This paper designs and realizes A DHCP SERVER overlay IP scanning system by using unicast way is designed and realized in this paper，based on multi-thread technology ，the system can efficiently scanning all the DHCP SERVER's in the campus network，and according to the preset Settings，which is able to distinguish the private plane of DHCP SERVER，which can greatly facilitates the management of campus network.

DHCP SERVER，Unicast，overlay IP，campus network

TP393

10.3969/j.issn.1672-9722.2017.11.019

Class Number TP393

2017年5月7日，

2017年6月11日

四川省教育自然科學(xué)重點(diǎn)項(xiàng)目（編號(hào)：12ZA200）資助。

侯向?qū)帲校T士研究生，講師，研究方向：無線通信網(wǎng)絡(luò)、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用。劉華春，男，碩士研究生，副教授，研究方向：網(wǎng)絡(luò)安全、智能信息處理。