Linux中DHCP安全性概览
在Linux上,DHCP默认并不安全,其安全性取决于ISC DHCP服务器(dhcpd)的配置、操作系统加固以及二层网络设施的配合。常见威胁包括:DHCP服务器伪装、DHCP饿死/报文洪泛、报文伪造、中间人攻击与地址冲突等。通过服务器侧加固、访问控制与交换机侧联动,可将风险显著降低。
主要风险与对应防护
| 威胁场景 |
关键防护 |
实施要点 |
| DHCP服务器伪装 |
交换机启用DHCP Snooping并配置信任/非信任端口 |
仅上联/合法DHCP服务器所在端口设为信任,其他端口丢弃DHCP响应,阻断伪造服务器 |
| DHCP饿死/洪泛 |
Snooping配合速率检测/限制 |
限制端口/VLAN的DHCP报文速率,超阈值丢弃,保护地址池 |
| 报文伪造(续租/释放) |
基于Snooping绑定表校验 |
对DHCP REQUEST/RELEASE进行IP/MAC/VLAN/端口一致性校验,不匹配丢弃 |
| 中间人攻击 |
Snooping与**动态ARP检测(DAI)**联动 |
只有ARP信息与绑定表一致的报文才转发,抑制ARP欺骗 |
| 地址冲突/滥用 |
地址冲突检测、静态租约绑定 |
分配前探测冲突;关键设备固定IP,减少IP劫持与滥用 |
| 未授权客户端 |
精细化未知客户端策略 |
在dhcpd.conf中使用allow/deny unknown-clients,仅允许受管设备获取地址 |
| 以上措施需服务器与交换机协同,才能形成端到端的安全闭环。 |
|
|
服务器侧安全配置要点
- 指定监听接口与最小化暴露:在RHEL/CentOS系可在**/etc/sysconfig/dhcpd设置INTERFACESv4=“eth0”;多网卡环境下只启用必要接口,减少攻击面。必要时以chroot**方式运行dhcpd,降低被攻破后的横向影响。
- 强化文件与进程安全:配置文件**/etc/dhcp/dhcpd.conf建议权限640**、属主root:dhcpd;租约文件**/var/lib/dhcp/dhcpd.leases建议640**、属主dhcpd:dhcpd。
- 启用详尽日志与审计:在dhcpd.conf加入option log-facility local7;,并在**/etc/rsyslog.conf配置local7.* /var/log/dhcpd.log**,便于追踪异常请求与租约变化。
- 地址冲突检测:启用ping-check on;与ping-timeout 2;,分配前探测目标IP是否被占用,降低冲突与ARP风暴风险。
- 租约与策略:合理设置default-lease-time与max-lease-time(如600/7200秒),对高流动场景可适当缩短;对关键主机使用host { hardware ethernet …; fixed-address …; }静态绑定;在配置中显式allow/deny unknown-clients与**ignore client-updates;**以控制未知设备与DNS动态更新。
- 持续更新与基线:定期更新系统与ISC DHCP软件包,审计配置与日志,保持最小权限与最新补丁。
网络与访问控制加固
- 交换机侧启用DHCP Snooping:全局开启后,对上联/合法服务器端口设为trust,接入端口为untrust;结合速率检测/限制抵御DHCP报文洪泛与“饿死”攻击。
- 绑定表联动防护:利用Snooping绑定表对DHCP REQUEST/RELEASE进行合法性校验,阻断伪造报文;与DAI联动,基于绑定表校验ARP,抑制中间人。
- 准入控制:在接入层部署802.1X,仅允许认证通过的设备入网并请求DHCP,减少未授权终端带来的风险。
- 主机防火墙:仅放行UDP 67/68(DHCP服务器/客户端端口),例如使用UFW/iptables精细化规则,避免DHCP流量被滥用。
监控与维护
- 实时与离线审计:持续监控dhcpd运行状态与日志(如**/var/log/dhcpd.log**),关注异常大量请求、未知客户端、频繁续租与冲突告警。
- 定期巡检与更新:例行检查**/etc/dhcp/dhcpd.conf**与租约文件变更,及时更新系统与DHCP软件,修补已知漏洞并复核安全基线。