锐捷DHCP-Snooping技术白皮书.doc

锐捷DHCP-Snooping技术白皮书锐捷DHCP-Snooping技术白皮书摘要本文介绍DHCP-Snooping和相关技术，说明了在DCHP应用环境下，如何利用DHCP-Snooping技术并结合相关技术进行安全方面的控制，包括屏蔽非法服务器、阻止用户私设IP、防止ARP欺骗等目的。关键词DHCP-Snooping IP报文硬件过滤 ARP DAI ARP-Check技术白皮书修订记录日期修订版本修改章节修改描述作者2008-7-251.0目 录摘要1关键词11 缩略语42技术应用背景43 DHCP-Snooping技术分析53.1 DHCP技术简介53.2 DHCP-Snooping技术简介63.3非法DHCP报文拦截73.3.1屏蔽非法DHCP 服务器73.3.2过滤非法报文83.4 Option 8283.5提供安全过滤数据库83.5.1 DHCP-Snooping数据库83.5.2提供IP报文硬件过滤数据库93.5.3提供ARP报文过滤数据库94 DAI技术分析104.1了解ARP104.2 DAI技术简介114.3 ARP报文限速114.4信任端口 & 非信任端口114.5 ARP报文检测步骤125 应用方案135.1应用部署135.2应用拓扑135.2 DHCP-Snooping + DAI145.4 DHCP-Snooping + ARP-Check165.5友商对比171 缩略语缩略语英文全名中文解释IPInternet Protocol互联网协议DHCPDynamic Host ConfigurationProtocol动态主机配置协议C/SClient / Server客户端和服务器模式DNSDomain Name System域名系统ARPAddress Resolution Protocol地址解析协议DAIDynamic ARP Inspection动态ARP检测MACMedia Access Control介质访问控制VLANVirtual Local Area Network虚拟局域网CPUCentral Processing Unit中央处理器FTPFile Transfer Protocol文件传输协议TFTPTrivial File Transfer Protocol日常文件传送协议DoSDenial of Service拒绝服务2技术应用背景DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)采用客户端和服务器的运行机制，是一种简化主机IP地址配置管理的TCP/IP标准。该标准允许DHCP服务器向客户端提供IP地址和其他相关配置信息。在网络中，通过启用DHCP服务可以让DHCP客户端在每次启动后自动获取IP地址和相关配置参数，减少了配置管理。在计算机数量众多并且划分多个子网的网络中，DHCP服务的优势更加明显，它避免了因手工设置IP地址及子网掩码所产生的错误；也避免了把一个IP地址分配给多台主机所造成的地址冲突，可以大大缩短网络管理员在主机地址配置上所耗费的时间，降低了管理员的设置负担。但是，随着DHCP服务的广泛应用，也给网络管理带来一些新的问题，具体表现在：1. 由于DHCP报文在客户端和服务器的交互过程中并没有认证机制，如果网络中存在非法DHCP服务器，管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址，客户机有可能从非法DHCP服务器获得IP地址等配置信息，导致网络地址分配混乱。 2. 在部署DHCP服务的子网中，如果出现用户私自设置IP地址，将有可能造成网络地址冲突，影响IP地址的正常分配。通过以上分析，必须采取有效措施来应对上述两个问题。我司推出的支持DHCP-Snooping功能的设备具有屏蔽非法DHCP 服务器、过滤非法DHCP报文和防止用户私设IP的功能，可以有效解决非法DHCP服务器扰乱用户网络和防止私设IP用户使用网络。网络管理的另外一大挑战是防止ARP欺骗。当前网络中，ARP欺骗报文肆意横行，而ARP协议本身无法辨别这些报文的真实性，因此网络中的主机和设备容易被欺骗，从而导致用户无法正常使用网络。ARP欺骗造成的危害较大，目前业界都在高度关注。我司针对这一问题推出的DHCP-Snooping + DAI（Dynamic ARP Inspection， 动态ARP检测），DHCP-Snooping + ARP Check解决方案可以有效拦截非法的ARP报文，抵御ARP欺骗，保证网络的畅通。3 DHCP-Snooping技术分析3.1 DHCP技术简介DHCP技术，主要用于为网络上的主机动态分配可重用IP地址，提供参数配置。DHCP采用C/S运行机制，由客户端和服务器通过DHCP报文交互，完成IP 地址申请。服务器可以向客户端提供IP地址和其他主机配置参数，如子网掩码、DNS-server、default-router（默认网关）、租用时间等。在同一个子网内，一次典型的IP地址申请过程如下：图1 DHCP报文交互过程1. DHCP Client发出DHCP DISCOVER广播报文给DHCP Server，若DHCP Client在一定时间内没有收到服务器的响应，则重发DHCP DISCOVER报文。2. DHCP Server收到DHCP DISCOVER报文后，根据一定的策略来给DHCP Client分配IP地址，发出DHCP OFFER报文。3. DHCP Client收到DHCP OFFER报文后，发出DHCP REQUEST请求，向DHCP Server请求获取参数配置信息。 4. 服务器收到DHCP REQUEST报文，验证资源是否可以分配，如果可以分配，则发送DHCP ACK报文。上面介绍了IP地址申请过程中DHCP报文的基本交互过程，在DHCP Client和DHCP Server之间的报文交互过程中还存在其他的报文，如：1. DHCP Client发出DHCP RELEASE报文告知DHCP Server终止IP地址租用；2. DHCP Server发出DHCP NAK报文回复DHCP Client地址申请失败；3. DHCP Client发出DHCP DECLINE报文告知DHCP Server该IP地址为冲突地址不可使用；如果DHCP Client和DHCP Server不在同一个子网内，申请地址需要DHCP中继（DHCP Relay）的支持。DHCP中继代理在DHCP Client和DHCP Server之间转发DHCP数据包。 3.2 DHCP-Snooping技术简介DHCP-Snooping具有屏蔽非法DHCP 服务器和过滤非法DHCP报文的功能，解决了DHCP Client和DHCP Server之间DHCP报文交互的安全问题。DHCP-Snooping简称DHCP窥探，如图1所示，在我司交换设备上启动DHCP-Snooping功能后可实现对DHCP Client和DHCP Server之间DHCP交互报文的窥探。通过窥探，DHCP-Snooping记录合法DHCP用户的信息（IP、MAC、所属VLAN、端口、租约时间等），形成DHCP-Snooping数据库。该数据库可以提供：1. IP报文过滤提供依据；2. ARP报文过滤提供依据。3.3非法DHCP报文拦截DHCP-Snooping的一个重要功能是实现对非法DHCP报文的拦截，包括屏蔽非法DHCP服务器和过滤非法DHCP报文。3.3.1屏蔽非法DHCP 服务器为了屏蔽非法DHCP服务器，管理员需要将端口配置为信任口和非信任口二种类型。DHCP-Snooping通过软件对DHCP报文进行处理。对如图2所示，将合法服务器的连接端口配置为信任口，其他端口默认为非信任端口。对于DHCP客户端请求报文，设备仅将其转发至信任口。对于DHCP 服务器响应报文，设备仅转发从信任口收到的响应报文，丢弃所有来自非信任口的响应报文。图2 信任口和非信任口DHCP报文处理过程按照图2所示，对于PC1和PC2发出的DHCP DISCOVER报文，交换设备仅将其转发到信任口；对于Server1和Server2发出的DHCP OFFER报文，交换设备仅转发Server1的响应报文，丢弃Server2的响应报文。 3.3.2过滤非法报文DHCP-Snooping对经过设备的DHCP报文进行合法性检查，过滤非法报文。以下几种类型的报文被认为是非法的DHCP报文：1. 非信任口收到的DHCP服务器响应报文，包括DHCP ACK、DHCP NAK、DHCP OFFER等；2. 经过DHCP中继转发的DHCP客户端请求报文；3. 在开启DHCP-Snooping源MAC校验功能时， 如果Client发出的DHCP报文中所携带的Client MAC字段值与报文链路层头部源MAC地址不一致，则视为非法报文；4. 如果收到的DHCP RELEASE、DHCP DECLINE报文信息与DHCP-Snooping数据库中的记录不一致，则视为非法报文。3.4 Option 82部分网络管理员在对当前的用户进行IP管理时，希望能够根据用户所连接的网络设备信息来给用户分配IP。DHCP-Snooping允许在交换设备进行DHCP窥探的同时把一些用户相关的设备信息以DHCP Option的方式加入到DHCP请求报文中。根据RFC3046标准规定，所使用的DHCP Option选项号为82。Option 82添加的信息包括用户的MAC、所处的VLAN号、端口号等。DHCP服务器根据DHCP请求报文中携带的Option 82信息，更准确地为用户分配IP地址。3.5提供安全过滤数据库3.5.1 DHCP-Snooping数据库在交换设备上启动DHCP-Snooping功能后，DHCP-Snooping将对DHCP Client和DHCP Server之间交互的DHCP报文进行窥探。通过窥探DHCP报文交互流程，把用户成功申请到的IP地址、用户MAC、所属VLAN、端口、租约时间等信息组成一个用户记录表项，添加到 DHCP-Snooping数据库中。DHCP-Snooping数据库中的用户信息，如图3所示。MacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -00d0.f866.471c 2591469 dhcp-snooping 1 GigabitEthernet 0/5 图3 DHCP-Snooping数据库DHCP-Snooping数据库具有添加、更新和删除的功能。当客户端成功申请到IP地址后，会添加相关记录到DHCP-Snooping数据库中；当客户端成功续约后，会更新DHCP-Snooping数据库中的租约时间；当客户端发出DHCP RELEASE报文或者地址租约到期后，会删除对应的DHCP-Snooping数据库表项。DHCP-Snooping数据库还允许进行手工添加和删除，配置静态绑定用户。为了防止设备重新启动导致数据库中的用户信息丢失，DHCP-Snooping提供定时将数据库中的用户信息写入flash功能。设备在重启后，自动从flash加载DHCP-Snooping数据库，保证之前申请的DHCP用户可以正常使用网络。目前我司产品暂不支持将DHCP-Snooping数据库通过FTP、TFTP方式存储到远端服务器。3.5.2提供IP报文硬件过滤数据库IP报文硬件过滤功能是采用硬件对IP报文进行合法性检查，合法用户发送的IP报文允许通过，非法用户发送的IP报文被过滤。IP报文硬件过滤以DHCP-Snooping数据库为依据，只允许在DHCP-Snooping数据库中存在相应表项的用户发送IP报文，阻止了用户私设IP地址。当打开IP报文硬件过滤功能后，DHCP-Snooping会将DHCP-Snooping数据库信息添加到硬件过滤表中。3.5.3提供ARP报文过滤数据库ARP报文过滤是指对收到的ARP报文进行合法性检查，对于非法的ARP报文进行直接丢弃处理，可以有效防止ARP欺骗。DHCP-Snooping数据库保存有合法DHCP用户的IP、MAC、VLAN、PORT等信息。通过对ARP报文信息与DHCP-Snooping数据库中的表项进行匹配，确定报文的合法性，过滤非法ARP报文。4 DAI技术分析为了解决ARP欺骗的问题，就需要对经过交换机的所有ARP报文做合法性检查，将ARP欺骗报文丢弃。根据这一需求，我司推出了基于软件的DAI（Dynamic ARP Inspection）和基于硬件的ARP-Check两种技术。本文主要介绍基于软件的DAI技术。ARP-Check技术请参考相应技术白皮书。4.1了解ARPARP协议（Address Resolution Protocol）的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。ARP协议是简单的报文交互而没有认证机制的，基于ARP协议的这一工作特性，任何人通过向计算机或者网络设备发送虚假的ARP报文便可达到ARP欺骗的目的。一种欺骗过程如下图所示：图4 ARP欺骗过程如图4所示，假设主机A要和主机B通信，那么主机A就会发送ARP请求报文请求主机B的MAC地址；这个时候主机B学习到主机A的MAC地址为MACA，同时主机B发送应答报文告诉主机A自己的MAC地址为MACB；主机A接收到应答报文后就学习到主机B的MAC地址；这样主机A、B都有对方的MAC地址，就可以进行通信。如果此时存在一台主机C，主机C发送虚假的ARP应答报文告诉主机A：主机B的MAC地址为MACC，这时候主机A就会把要发送到主机B的报文错误的发送到主机C。 4.2 DAI技术简介为了防止用户或者网络设备被非法ARP报文欺骗，将所有通过交换机的ARP报文都送到CPU进行合法性检查的技术，称为动态ARP检测，即DAI技术。DAI以DHCP-Snooping数据库为检测依据，必须启动DHCP-Snooping功能后，DAI功能才生效。启动DAI功能后，将收到ARP报文的源IP、源MAC、端口号、VLAN ID信息同DHCP-Snooping数据库的用户信息进行匹配。如果一致则认为合法ARP报文，按既有流程处理；否则视为非法ARP报文，丢弃处理。DAI技术由ARP报文限速、端口信任状态设置和ARP报文合法性检查三部分组成，其中ARP报文合法性检查是DAI技术的核心组成部分。下面将分别介绍这三个组成部分。4.3 ARP报文限速由于设备执行DAI合法性检查，需要消耗一定的CPU资源，所以需要对ARP报文进行限速，这样可以在一定程度上抵御DoS攻击。默认情况下，非信任端口每秒钟ARP报文的最大个数是15，信任端口则不受限制。由于ARP报文限速采用软件实现，在交换机CPU繁忙的情况下，限速会有偏差。4.4信任端口 & 非信任端口在DAI功能中，并不是每个端口上收到的ARP报文都需要进行合法性检测，为了区分是否需要进行合法性检测，管理员需要将端口配置为信任口与非信任口。从信任口接收到的ARP报文，将跳过DAI检查；从非信任口接收到的ARP报文，将进行合法性检查。图5 DAI功能端口配置如图5所示，PC1和PC2有可能发送ARP欺骗报文，需要将连接PC1、PC2的端口配置为非信任口，对收到的ARP欺骗报文进行过滤；汇聚层设备不会发送ARP欺骗报文，需要将连接汇聚层设备的端口配置为信任口，对收到的ARP报文不进行合法性检查。4.5 ARP报文检测步骤DAI结合ARP报文限速和端口状态对ARP报文进行处理，主要执行以下步骤：1. 将所有经过交换机的ARP报文截获；2. 如果端口每秒钟收到的ARP报文的数量超过预设值，则超过部分的ARP报文将被丢弃；3. 如果相应VLAN没有打开DAI功能，则按照既有流程处理；4. 如果相应端口为信任口，则按照既有流程处理；5. 如果相应VLAN打开了DAI功能且入口为非信任口，则根据DHCP-Snooping数据库，对所有ARP报文进行合法性检查；6. 检查通过，则按照既有流程处理；检查失败，将报文丢弃。5 应用方案5.1应用部署通过上面的介绍，DHCP-Snooping + DAI(或ARP-Check)技术的解决方案可以使当前网络更加稳定和安全。该解决方案主要部署在接入设备。如果将该方案部署在汇聚层及其以上的设备，那么接入层的非法DHCP、ARP报文将得不到有效的控制，不能充分发挥该方案的优势。如图6所示，如果将DAI（或ARP-Check)应用在SW2上，虽然PC3、PC4不会受到PC1、PC2发送的 ARP报文的欺骗，但是PC1、PC2和PC3、PC4内部之间可能相互欺骗。基于上述原因，建议将方案部署在接入层。5.2应用拓扑图6 DHCP-Snooping & DAI应用拓扑图如图6所示，SW4-SW7为接入层设备，SW2-SW3为汇聚层设备，SW1为核心层设备。为了有效的防御DHCP和ARP报文欺骗，应该在SW4-SW7上开启DHCP-Snooping和DAI(或ARP-Check)功能。5.2 DHCP-Snooping + DAI这里以设备SW4上配置为例，SW5-SW7则完全类似。假设SW4连接PC1、PC2、SW2的端口分别为Fastethernet0/1、Fastethernet0/2、Fastethernet0/3。1. 打开DHCP-Snooping全局开关；configure terminalip dhcp snoopingend2. DHCP服务器与DHCP客户端不在同一子网时，需要打开DHCP中继功能，并配置DHCP服务器地址；configure terminalservice dhcpip helper-address 00end 3. 将连接合法DHCP服务器的端口配置为信任口，连接用户的端口默认为非信任口； configure terminalinterface fastethernet 0/3ip dhcp snooping trustend4. 为了防止私设IP地址的用户使用网络，需要打开接口上的地址绑定开关，通过硬件对非法IP报文进行过滤；configure terminalinterface range fastethernet 0/1-2ip dhcp snooping address-bindend5. 对于需要使用静态IP地址的用户，可以通过添加静态绑定实现；(假设PC2需要使用静态IP地址，其MAC为：00d0.fa88.5687；VLAN号为：1；IP为：；端口为：2)configure terminalip dhcp snooping binding 00d0.fa88.5687 vlan 1 ip interface fastethernet 0/2end6. DAI功能基于VLAN进行控制，需要对该VLAN内的非法ARP报文进行过滤时，在VLAN 1上打开DAI功能configure terminalip arp inspection vlan 1end7. 上连端口不存在ARP欺骗，因此将上连端口配置为信任口；(当然，若其它端口确定不会存在ARP欺骗，也可以配置为信任口，比如接的是可靠的服务器)configure terminalinterface fastethernet 0/3ip arp inspection trustend8. 为防止ARP报文送到CPU的速率过快，导致设备CPU 利用率过高，需要配置连接用户端口的ARP报文速率限制(如：20pps)；configure terminalinterface range fastethernet 0/1-2ip arp inspection limit-rate 20end目前，我司推出的DHCP-Snooping + DAI虽然能够较好的解决ARP欺骗问题，但由于DAI采用软件技术对ARP报文进行合法性检查，需要将所有ARP报文送到CPU，因此在单位时间内发送大量ARP报文对设备进行攻击时，DAI功能会占用大量CPU，使CPU利用率过高，从而影响其他协议的正常运行。因此，如果网络中存在ARP报文攻击量很大或很频繁的情况，需要慎用DAI功能。在条件允许的情况下，尽可能使用下面的DHCP-Snooping + ARP-Check应用方案。5.4 DHCP-Snooping + ARP-Check ARP-Check通过硬件过滤ARP欺骗报文，保证送到CPU的ARP报文都是合法的，有效降低了CPU的负荷。DHCP-Snooping功能在将DHCP-Snooping数据库用户信息添加到IP报文硬件过滤表时，同时添加到ARP报文硬件过滤表。ARP-Check根据ARP报文硬件过滤表对ARP欺骗报文进行过滤。DHCP-Snooping + ARP-Check应用方案相比DHCP-Snooping + DAI应用方案具有明显的优势，可以避免设备在受到ARP欺骗报文攻击时CPU利用率过高的问题。DHCP-Snooping + ARP-Check应用方案同样部署于接入层设备，其应用拓扑如图6所示。在配置中需要注意以下几点：1. DHCP-Snooping部分的配置，同DHCP-Snooping + DAI应用方案中的配置相同(步骤1 - 步骤5)；由于ARP-Check依赖于DHCP Snooping地址绑定功能，因此步骤4必须配置；2. 不同于DAI，ARP-Check应用于端口模式下，需要对该端口上对收到的ARP欺骗报文进行硬件过滤时，在该端口上启用ARP-Check功能，比如需要在端口1和端口2上启用该功能；configure termi