我在读这一页,这时我看到了这个警告:
警告!:DHCP 预留通常依赖于 MAC 地址来预留特定的 IP 地址分配。如果您随机分配 MAC 地址,则会破坏您的预留。
假设我们有一个DHCP服务器分配IP 地址在网络上。想象一下,我们故意连接一个设置为持续伪造 MAC 地址然后重新连接到网络(向 DHCP 请求新 IP)。据我了解,DHCP 将为每个 MAC 地址保留一个 IP,因此如果此过程完成得足够快,DHCP 将用尽 IP 地址,从而阻止新的合法设备在租约到期之前进行连接。
虽然这在理论上似乎是可能的,但我不确定它在实践中是否可行。
MAC 欺骗会导致 DHCP 耗尽 IP 地址吗?
此类攻击有名字吗?
有什么防御机制可以防止这种攻击吗?
答案1
是的,以太网或 Wi-Fi LAN 上的恶意设备可能会占用您的所有 DHCP 租约,甚至使用 ARP 使网络上的所有 IP 地址(甚至是 DHCP 池之外的 IP 地址)看起来都被占用了。这只是冰山一角。坏人可以做各种各样的事情来给 LAN 所有者和其他用户造成麻烦。
以太网或 Wi-Fi LAN 的前提是它是一个安全的地方。只有受信任的设备才允许连接。如果试图在没有这个前提的情况下运行 LAN,一旦出现半知情、半恶意的用户(或恶意软件),就会出现问题。要求在您的 LAN 上进行 802.1X 身份验证,并且只允许受信任的人/设备连接。
如果您必须允许未经身份验证/不可信的设备,但又想限制恶意设备可能造成的损害,请不要允许它们进入共享 LAN。自动将未经身份验证的设备隔离到各自的单设备 VLAN 上,并对每个此类 VLAN 实施仔细的出口过滤,这样它们就不会给其他设备带来问题。这样做可能得不偿失,但可能有一些企业级产品可以简化这一过程。
答案2
你误读了这个警告。地址预留是一种在设备每次向 DHCP 服务器请求连接时分配相同的固定 IP 地址的方法。
这是基于识别 MAC 地址并从其表中分配预定义地址。所有警告都表明,如果您伪造不同的 MAC 地址,DHCP 服务器将看不到您的实际地址,因此它无法与其表中的条目进行匹配,您将从池中获得一个随机地址。
你很困惑地址预留和地址分配在后一种情况下,其他连接设备无法使用该地址,直到分配了地址的设备断开连接,然后该地址被释放到 DHCP 池并再次可供其他设备使用。
在释放分配的地址之前会应用一个超时时间(租用时间),以便临时网络问题不会导致 IP 地址不断变化。