DefensePro保护DHCP服务器.doc

Radware DefensePro保护DHCP服务器DHCP服务器安全需求DHCP是Dynamic Host Configuration Protocol的缩写，它是TCPIP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址，其具有如下优点：l 管理员可以集中为整个互联网指定通用和特定子网的TCPIP参数，并且可以定义使用保留地址的客户机的参数。l 提供安全可信的配置。DHCP避免了在每台计算机上手工输入数值引起的配置错误，还能防止网络上计算机配置地址的冲突。l 使用DHCP服务器能大大减少配置花费的开销和重新配置网络上计算机的时间，服务器可以在指派地址租约时配置所有的附加配置值。l 客户机不需手工配置TCPIP。l 客户机在子网间移动时，旧的IP地址自动释放以便再次使用。在再次启动客户机时，DHCP服务器会自动为客户机重新配置TCPIP。正是由于DHCP的这些优点，目前大量用户在不同应用中采用DHCP服务器作为基础网络设施的一部分，例如校园网络的学生上网、运营商的IPTV等等。但是随着DHCP应用范围的逐渐增大，某些基于DHCP服务器的安全问题就逐渐显现，主要包括：1、 由于病毒或者系统bug，导致每个客户端不断通过DHCP申请IP地址，耗尽DHCP服务器的地址池；2、 由于设备维护、断电、重启等情况，或者大量伪造MAC地址，在某一时间对DHCP服务器地址请求瞬间增大，导致DHCP服务器负载过重而无法正常分配IP地址；3、 黑客针对DHCP服务器进行UDP、ICMP等DDoS攻击，导致DHCP服务器资源耗尽而拒绝服务；4、 黑客针对Telnet等远程服务进行扫描和暴力破解，获取用户名口令，获取DHCP服务器的控制权。5、 针对DHCP服务器的漏洞攻击，任何一种通用操作系统都有一系列的漏洞。如果黑客发现了这些漏洞，DHCP服务器将会面临极大的安全威胁。这些安全问题正在不断影响DHCP服务器的正常运行，必须对此进行全面的安全防护，但是由于每个用户DHCP地址请求包中包含的是客户端的MAC地址，而这个MAC位于数据封包的负载中，因此对DHCP服务器的保护必须要求能够识别这些MAC地址，遗憾的是，绝大多数的安全设备无法识别、辨别这些请求数据包而不能够对其提供安全防护。Radware DefensePro却能够精确识别DHCP的请求数据包，并对其进行高级别的安全防护。DefensePro保护DHCP服务器作为DefensePro提供的独特的DHCP防护方案，我们在DHCP服务器群前面部署DefensePro3020，为DHCP服务器提供全面的安全防护：DefensePro对DHCP服务器的保护包括以下内容：1、 控制每个MAC地址发送的DHCP请求数量，防范每个客户端快速进行DHCP请求而耗尽地址的问题；DefensePro提供专门针对DHCP服务的特征：AnomalyBooTPrequestDOS，能够识别并计算DHCP请求中的MAC地址，我们可以定义特定时间内每个客户端MAC地址DHCP请求的数量和频率。2、 控制对DHCP服务器的总体请求数量，防范突发的海量DHCP请求冲击DHCP服务器的问题；DefensePro提供精细化的带宽管理模块，针对源地址或者目的DHCP服务器的地址，控制进入DHCP服务器的请求数量，保护DHCP服务器。DefensePro独有的策略优先级功能，能够先对每个MAC地址限制其特定时间内DHCP请求数量，防止地址耗尽，然后再通过带宽管理模块，控制总体到达DHCP服务器的DHCP请求数量，防止DHCP服务器负载过高而拒绝服务。DefensePro对DHCP数据判断流程如下：4 判断在规定的单位时间内,超过了单MAC的 DHCP请求的个数限制STARTDHCP数据限制MAC 跟踪END丢弃该请求NoYes4 判断到达DHCP服务器请求速率是否超过了规定的速率限制NoYes3、 实时阻断各类其他DDoS攻击，保护DHCP服务器不受DDoS攻击的影响；DefensePro提供基于行为分析的BDoS模块，借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术，Radware B-DoS 防范模块能够自动和提前防范各类网络DDoS攻击和高速自我繁殖的病毒，避免危害的发生。4、 实时阻断对DHCP服务器的扫描和暴力破解，防止黑客控制DHCP服务器；对于那些针对如Telnet等应用端口服务的扫描和暴力破解，DefensePro学习服务器的行为模式，并根据其行为判断是否存在类似攻击，一旦发现此类攻击，DP将自动阻断攻击，并提供详细的报警，防范黑客对DHCP服务器的暴力破解入侵。5、 DefensePro提供基于纯硬件的IPS特征防护，实时高效阻断对DHCP服务器的漏洞攻击，保护DHCP服务