如何防止无线接口上的 DHCP IP 饥饿攻击?

如何防止无线接口上的 DHCP IP 饥饿攻击?

有可能去任何有公共 Wi-Fi 热点的餐厅/咖啡馆/巴士,然后用 DHCP DISCOVER / REQUEST 数据包淹没它。如果此网络是由用作 DHCP 服务器的路由器创建的,那么这种攻击应该会导致 IP 匮乏,对吗?

有没有什么办法可以防止此类攻击?

我只谈论无线网络。每个客户端都使用相同的共享介质,因此不可能“禁止生成过多 DCHP 请求的端口”之类的操作。

(我找到了一个类似问题这是 11 年前问的。也许这个领域有一些新的东西。

答案1

尝试回答“如何做”的问题。(摘自我的评论)

随机 MAC 地址理论上可以耗尽地址空间。正如问题中提到的,没有办法唯一地识别这样的攻击者,如果不同端口上有多个 AP,则可以用来缩小范围。但这会给其他客户端带来问题,攻击者只需切换 AP 即可。

  • 确保公共子网仅用于公共客户端
  • 使用较大的地址空间,这样攻击者需要更长的时间来耗尽范围
    • 或者更好的是,使用多个较小的范围,使任何攻击者更难估计实现阻止所需的资源量。
  • 租约时间要短,这样任何攻击都会受到时间限制,再加上范围大,使得攻击难以实现

实际上是否存在值得进行此类攻击的场景?(对咖啡店来说是恶意的?)

相关内容