DHCP 监听是一种允许交换机防止 DHCP 饥饿和 DHCP 中毒(LAN 上的 MITM 攻击)的功能。
但是这些功能在较便宜的家用设备(例如入门级交换机和充当网桥的 wifi 路由器)上不具备。
有没有办法让路由器(例如运行 OPNsense 的路由器,它是网络的网关)拦截网络上其他主机的 DHCP OFFFER 回复并提醒管理员?有没有资源可以深入探讨这个问题?
答案1
OPNsense 具有使用 Suricata 的 IDS/IPS 功能,可以检查网络流量。许多规则源可能已经有了相应的规则,或者您可能需要编写自定义规则。
自定义 suricata 规则可能如下所示,仅作为示例
alert dhcp any any -> any any (msg:"Potential DHCP Offer from Unauthorized Source"; content:"|02 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset: 240; depth: 1; sid:1000001; rev:1;)
OPNSense 在这件事上比较特殊,因为它不仅仅是一个路由器。