一、题目
DHCP会面对很多安全威胁的原因有哪些?
A.中间人利用了虚假的 IP 地址与 MAC 地址之间的映射关系来同时欺骗 DHCP 的客户端和服务器
B.DHCP Server 无法区分什么样的CHADDR 超合法的,什么样的CHADDR 是非法的
C.DHCP 动态分配 IP 地址的响应时间长
D.由于 DHCP 发现报文(DHCPDISCOVER)以广播形式发送
二、答案
ABD
三、解析
A、该选项描述的是DHCP欺骗攻击,是DHCP面临的典型安全威胁之一。攻击者会伪造虚假的IP地址与MAC地址映射关系,同时欺骗DHCP客户端和服务器:向DHCP服务器发送虚假的地址请求,伪装成合法客户端获取IP地址分配;同时向合法客户端发送虚假的DHCP响应,冒充DHCP服务器分配错误的IP、网关等配置。这种攻击会导致客户端无法正常访问网络,甚至被窃取网络数据、遭受流量劫持,因此该选项是DHCP面临安全威胁的原因之一。
B、CHADDR(客户端硬件地址)是DHCP报文中用于标识客户端的字段,本质上就是客户端的MAC地址。但DHCP Server在缺乏对CHADDR合法性的验证机制,无法区分报文中的CHADDR是客户端真实的硬件地址,还是攻击者伪造的虚假地址。攻击者可以轻易伪造任意CHADDR发送DHCP请求,抢占IP地址资源。
C、DHCP动态分配IP地址的响应时间,主要取决于网络延迟、服务器负载等因素,属于服务性能范畴,而非安全隐患。
D、DHCP发现报文(DHCPDISCOVER)是客户端在未获取IP地址时发送的,由于此时客户端没有合法的IP地址和网络配置,无法与DHCP服务器进行单播通信,只能以广播形式发送该报文,且广播报文会被同一网络内的所有设备接收。攻击者可以监听网络中的DHCPDISCOVER广播报文,伪装成DHCP服务器向客户端发送虚假响应或截取报文获取客户端信息。
四、扩展——其他常见的DHCP安全威胁
1. DHCP IP耗尽攻击:与CHADDR伪造攻击(选项B)直接相关,是企业内网最频发的DHCP攻击。攻击者伪造大量虚假的CHADDR,向DHCP Server发送海量IP地址请求,快速耗尽服务器的IP地址池,导致合法客户端无法获取IP地址,无法接入网络,属于“拒绝服务类”攻击,实施成本低、影响范围广。
2. DHCP中继欺骗攻击:当网络存在DHCP中继器(用于跨网段分配IP地址)时,攻击者可伪装成DHCP中继器,篡改中继报文,将客户端的DHCP请求转发至恶意DHCP服务器,或篡改真实服务器的响应配置(如DNS地址、网关),实现跨网段攻击,扩大威胁范围。其原理与题干中的中间人欺骗(选项A)一致,是中间人攻击的跨网段延伸。
3. 虚假DHCP Option攻击:DHCP报文中的Option字段用于传递额外网络配置(如DNS服务器地址、租期等),由于DHCP协议缺乏报文完整性校验,攻击者可伪造该字段,向客户端推送恶意配置。例如,推送虚假DNS服务器地址,引导客户端访问钓鱼网站、恶意站点,进而窃取用户账号密码、个人数据等,危害隐蔽且深远。
4. 非法DHCP服务器攻击:攻击者在网络中部署非法DHCP服务器,利用DHCPDISCOVER报文的广播特性(选项D),优先向客户端发送响应,分配错误的IP、网关等配置,使客户端接入非法网络,被攻击者控制、监听,本质是DHCP服务器欺骗的延伸,常见于内网入侵场景。
