dhcp安全问题及防范措施.docx

集团标准化小组：[VVOPPT-JOPP28-JPPTL98-LOPPNN] 集团标准化小组：[VVOPPT-JOPP28-JPPTL98-LOPPNN] DHCP安全问题及防范措施 DHCP安全问题及防范措施 　　摘要：现代社会是一个被网络包围的社会，上网成为现代人的生活基本需求，网络也成为现代企业的基本生产工具之一。在这个大背景下，有限的IP网络地址资源分配成为制约网络信息发展的障碍，引入DHCP（动态主机配置协议）服务成为重要的解决手段，但是DHCP协议在安全上存在的漏洞使得在使用DHCP服务器为主机配置网络地址和参数时面临威胁。文章对这些DHCP安全问题和防范措施进行了探讨。 　　关键词：DHCP；安全问题；防范措施 　　中图分类号：TP393文献标识码：A文章编号：1006-8937（2014）8-0070-02 　　1DHCP的安全问题 　　作为允许无盘工作站连接到网络并使之自动获取一个IP地址的BOOTP协议的扩展之一，DHCP（动态主机分配协议）由两个基本部分组成，一部分是向网络主机传送专用的配置信息，一部分是给主机分配网络地址。DHCP技术很好解决了IP地址匮乏的现实问题，同时还解决了移动计算机迅速获取IP地址的技术难题，为网络信息的发展做出了重要的贡献。但是由于在设计DHCP时更多的考虑是网络连接的便利性，存在一定的安全漏洞，其中主要的有以下几种： 　　①DHCP在设计上不具有任何防御恶意主机的功能。随着带有DHCP功能家用路由器的大量使用，使用不当的话就可能将这些路由器转变为DHCP服务器，这些所谓的DHCP服务器可能对外发布虚假网关地址、IP地址池甚至是错误的DNS服务器信息，如果这些非法DHCP指定的DNS服务器被蓄意修改，就有可能将用户引导到木马网站、虚假网站，盗窃用户账号和密码，威胁用户的信息安全。 　　②DHCP与客户端相互之间没有认证机制，自身没有访问控制。由于DHCP可以方便的为网络中的新用户配置IP地址和参数，一个非法的客户可以通过伪装成合法的用户来申请IP地址和网络参数，避开网络安全检查，实现“盗用服务”，导致网内信息的泄露。另外，非法用户还可以通过“拒绝资源”攻击的方式，例如耗尽有效地址、CPU或者网络资源等，瘫痪蓄意攻击的网络。 　　③DHCP在安全方面仅仅提供了有限的辅助工具来对分发的IP地址进行管理和维护，不具有将地址和用户联合起来的复杂管理功能，使得网络管理员无法对IP冲突或者流氓IP地址进行有效、快速的认证和网络跟踪。 　　2防范DHCP安全问题的防范措施 　　DHCP安全的威胁主要有三种，一是人为的无意失误，例如用户账号的无意识泄露；二是人为的恶意攻击，例如通过主动或者被动的攻击方式来获取网络信息的计算机犯罪行为等；三是网络软件的漏洞和“后门”。例如网络软件编程人员为了自便设置的“后门”被黑客察觉导致的信息泄露等。对DHCP安全问题的防范可以从以下三个方面来进行防范。 　　2.1网络入侵检测 　　网络入侵检测（网络实时监控）技术利用专门的网络监控软件或者硬件对网络流量进行监控、分析、预警以及处理。有效的网络入侵检测部件通过对网络上使用的各种网络协议进行分析，并和自身的网络入侵特征库进行对比，从而发现各种网络攻击行为。网络入侵检测部件对网络攻击行为的侧重点是发现，并不能预防，所以还存在一定的缺陷。 　　2.2访问控制 　　通过对用户访问行为的控制，可以阻止未经允许的用户有意或者无意获取到被保护网段内的信息和数据。访问控制技术是网络安全防范保护的主要技术，它通过入网访问、网络权限设置、目录级以及属性控制等手段来决定谁可以访问系统以及系统的何种资源、对资源的使用方式等。 　　①入网访问控制。入网访问控制是网络的第一层访问控制。一般分为三个步骤：登陆用户名的识别和验证、登陆用户的口令识别与验证、登陆用户账号的缺省限制检查。网络管理员通过对用户账号的控制实现对用户访问特定网络的时间、方式的权限。 　　②用户网络权限的控制。通过对用户或者用户组赋予一定的访问权限，例如对网络目录、子目录、文件以及其他资源的访问，对用户或者用户组进行分类管理，一是特殊用户，系统管理员；二是一般用户，按照实际需要分配操作权限；三是审计用户，对网络安全控制与资源使用进行审计的账户。 　　③网络目录级的访问控制。网络通过控制用户对目录以及目录下的子目录和文件的创建、删除、修改、存取控制等权限，达到有效控制用户对服务器资源的访问权限，加强网络以及服务器的安全性。 　　④网络属性的访问安全控制。属性安全控制是在权限安全控制上的进一步防范措施。属性设置可以覆盖任何已经指定的受托着