摘要:随着科技的飞速发展,传统的有线局域网(LAN)已无法跟上科技发展的步伐,而无线局域网(WLAN)给人们生活带来便利。在无线局域网架构中,使用AC管理AP,AP通过AC获取到管理IP地址,用户接入AP后,通过路由器的DHCP服务分配IP上网。通常情况DHCP服务能够正确分配IP地址,计算机能正常上网。但是如果在交换机的某个端口接入具有DHCP功能的路由器设备,或者在局域网中安装服务器系统并开启DHCP服务,这时局域网中存在多个DHCP服务器,从而导致用户获取伪造DHCP服务器的IP地址,无法通过认证上网。本文介绍如何查找无线局域网内伪造DHCP服务器,以及防范方法。
关键词:DHCP; DHCP Snooping; IP; MAC地址; 局域网;
Abstract:With the rapid development of science and technology, the traditional wired local area network(LAN) has been unable to keep up with the pace of technological development, and wireless local area network(WLAN) has brought convenience to people's life. In the wireless LAN architecture, the AP uses AC to manage the AP. The AP obtains the management IP address through AC. after accessing the AP, the user allocates IP to the Internet through the DHCP service of the router. Usually, the DHCP service can assign the IP address correctly, and the computer can access the Internet normally. However, if a router with DHCP function is connected to a certain port of the switch, or the server system is installed in the LAN and the DHCP service is enabled, there are multiple DHCP servers in the LAN, which will lead to the user obtaining the IP address of the forged DHCP server and unable to access the Internet through authentication. This paper introduces how to find forged DHCP server in WLAN and how to prevent it.
1 概述
我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达,请稍后认证”,无法认证上网。使用ping命令检查网络连通性,发现该办公楼的网关地址正常连通,但获取的DNS地址为192.168.1.1,导致无法通过认证。手动配置计算机的IP地址为192.168.1.250,网关地址为192.168.1.1,在浏览器中输入http://192.168.1.1,可以访问无线路由器的管理界面(如图1所示)。将计算机的DNS地址配置为61.128.128.68,能正常认证上网,因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP服务器攻击所致。
图1 路由器管理界面
2 问题原因分析
产生上述问题的原因是:客户机通过广播方式发送DHCP请求寻找DHCP服务器,DHCP服务器接收到客户机的IP租约请求时,同时提供IP租约给客户机。客户机收到IP租约时,同时发送DHCPREQUEST消息。当DHCP服务器收到消息后,同时完成DHCP分配。由于局域网中同时存在多个DHCP服务器,所有DHCP服务器都收到计算机发送的DHCP请求,互相争夺DHCP提供权,导致计算机获取到伪装DHCP服务器的IP地址,从而无法上网。
3 解决方法
对于伪造DHCP服务器,本文采用的解决方法步骤如下:
第一步:在故障电脑上命令提示符中输入arp-a命令,在出现的IP地址与物理地址列表信息中,查找到IP地址192.168.1.1的物理地址为be-5f-f6-01-a8-12,此物理地址为路由器所对应的硬件MAC地址。如图2所示。
第二步:使用telnet命令登录AC,通过display wlan client|in be5f-f601-a812命令查看该无线路由器接入的AP,命令执行如下:
图2 ARP缓存列表
从命令执行情况可知,该AP的MAC地址所对应的交换机端口号为GE1/0/18。因为交换机在收到数据帧后,首先记录其源MAC地址和对应接口到MAC表中,然后会检查自己的MAC表中是否有数据帧中目标MAC地址的信息,通过该原理可找到该AP所对应的交换机端口。
第四步:通过shutdown命令关闭GE1/0/18端口,将无线路由器接入的AP与内网通信阻断。要想从根本上解决无线局域网内伪造DHCP服务器攻击,则要在交换机中开启DHCP Snooping功能。为防止非法DHCP服务的问题,DHCP Snooping把端口分为两种类型,TRUST端口和UNTRUST端口,设备只转发TRUST端口收到的DHCP应答报文,丢弃所有来自UNTRUST端口的应答报文,实现对伪造DHCP服务器的屏蔽。配置命令如下:
汇聚交换机:
其它接入端口(上联口除外)配置方法同上。
4 结论
通过在交换机中配置DHCP Snooping后,已解决了局域网内伪造DHCP服务器攻击的问题。伪造DHCP服务器攻击是网络常见故障之一。如果交换机不支持DHCP Snooping功能,还可通过其他的方法如端口隔离、接入层ACL和接入认证来进行防范。
参考文献
[1]赵晓琦.无线局域网综述[J].广播电视信息,2015(1):61.
[2]吴浩.如何应对伪造DHCP服务器攻击[J].价值工程,2017(32):144.
[3]李兆东.无线路由器在局域网中使用和故障排除[J].信息与电脑,2016(15):179.
[4]钟文基,董英.利用DHCP监听技术解决局域网故障[J].电脑知识与技术,2017,13(19):36.
[5]汤小康.基于DHCP Snooping技术的校园网非法DHCP服务器的接入[J].网络安全技术与应用,2015(7):48.
