Linux DHCP安全性问题及防范措施
导读:Linux DHCP安全性问题与防范措施 一 常见威胁与风险 DHCP服务器伪装与未授权分配:恶意设备冒充DHCP服务器下发网关、DNS等参数,导致中间人与流量劫持。 DHCP饿死与报文洪泛:伪造大量DHCP请求/报文耗尽地址池或占用CP...
Linux DHCP安全性问题与防范措施
一 常见威胁与风险
- DHCP服务器伪装与未授权分配:恶意设备冒充DHCP服务器下发网关、DNS等参数,导致中间人与流量劫持。
- DHCP饿死与报文洪泛:伪造大量DHCP请求/报文耗尽地址池或占用CPU/带宽,引发拒绝服务。
- 报文伪造与续租劫持:伪造DHCP REQUEST/RELEASE 等报文,干扰正常租约或释放他人地址。
- 地址冲突与ARP欺骗:错误地址分配或ARP投毒,造成网络不稳定与会话劫持。
- 客户端侧漏洞导致代码执行:如 CVE-2018-1111(dhclient/NetworkManager WPAD 选项注入),攻击者可获取root权限;另有 CVE-2018-5732/5733 影响服务器/客户端稳定性与可用性。
- 权限与隔离不足:DHCP服务以高权限运行、配置与租约文件权限不当、缺少chroot隔离,扩大被攻陷后的影响面。
二 服务器端加固清单
- 最小化监听与接口绑定:仅在特定接口提供DHCP服务(如 INTERFACESv4=“eth0” 或编辑 /etc/sysconfig/dhcpd 设置 DHCPDARGS=eth0),减少攻击面。
- 权限与文件安全:限制配置与租约文件访问,例如:
- chmod 640 /etc/dhcp/dhcpd.conf;chown root:dhcpd /etc/dhcp/dhcpd.conf
- chmod 640 /var/lib/dhcp/dhcpd.leases;chown dhcpd:dhcpd /var/lib/dhcp/dhcpd.leases
- chroot监牢:将 dhcpd 运行在受限根目录,降低被攻陷后的横向移动风险。
- 权威模式与未知客户端控制:在 dhcpd.conf 中使用 authoritative; 并结合 allow/deny unknown-clients; 仅对受管设备分配地址。
- 地址冲突检测:启用 ping-check on; ping-timeout 2; 减少冲突与ARP风暴。
- 租约与地址池:合理规划 subnet / range,根据场景设置 default-lease-time / max-lease-time,必要时缩短租约以降低被滥用窗口。
- 静态绑定与精细化选项:对关键设备使用 host { hardware ethernet …; fixed-address …; } ;仅下发必要 option,谨慎开启 ddns-update-style 与客户端更新,避免不必要的DNS动态更新。
- 日志与审计:在 dhcpd.conf 设置 option log-facility local7; ,并在 rsyslog 中输出到 /var/log/dhcpd.log,定期审计配置与租约变更。
- 补丁与版本管理:及时更新 ISC DHCP 与相关组件,修复如 CVE-2016-2774、CVE-2017-3144、CVE-2018-5732/5733 等已知漏洞。
三 交换机与网络层防护
- DHCP Snooping:在接入交换机全局启用,并将上联/合法DHCP服务器端口设为 trust,其余端口为 untrust,仅允许来自信任端口的DHCP响应。
- 速率限制与洪泛防护:对未信任端口启用 DHCP报文速率检测/限速,超出阈值的报文直接丢弃,缓解饿死与洪泛。
- 绑定表校验与ARP防护联动:基于 DHCP Snooping 绑定表(IP/MAC/VLAN/端口) 校验后续 DHCP REQUEST/RELEASE 合法性,并与 DAI(Dynamic ARP Inspection) 联动,阻断ARP欺骗与中间人。
- 接入控制:结合 802.1X 做设备身份准入,未认证设备不授予网络访问与DHCP服务能力。
四 客户端与容器场景
- 及时打补丁:修复客户端脚本漏洞(如 CVE-2018-1111),并更新 dhclient/NetworkManager 等组件;在 Ubuntu 上,默认 AppArmor 配置可一定程度缓解 CVE-2018-5732 的影响,但仍需尽快升级。
- 最小权限与隔离:避免以 root 运行不必要的网络服务;容器/虚拟化环境中,谨慎使用 hostNetwork,为容器提供最小必要的网络命名空间与分段。
- 静态租约与白名单:对关键主机使用 固定IP/静态租约,减少被伪造DHCP影响的概率。
- 多服务器与容灾:规划 DHCP Failover 或多作用域分布,提升可用性与故障切换能力。
五 快速核查清单
| 检查项 | 期望状态/做法 |
|---|---|
| 监听接口 | 仅绑定必要接口(INTERFACESv4 或 DHCPDARGS) |
| 文件权限 | dhcpd.conf 640 root:dhcpd;dhcpd.leases 640 dhcpd:dhcpd |
| chroot | 已启用,服务运行在受限根目录 |
| 权威与准入 | authoritative;仅允许 known-clients 或配合 802.1X |
| 日志 | log-facility local7 并输出到 /var/log/dhcpd.log |
| 租约与地址池 | 合理范围与租约;关键设备固定租约 |
| Snooping/DAI | 上联口 trust;接入口 untrust;启用速率限制与ARP校验 |
| 补丁与版本 | 无 CVE-2016-2774/2017-3144/2018-5732/5733 等漏洞 |
| 客户端 | 已修补 CVE-2018-1111;最小化 hostNetwork 使用 |
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Linux DHCP安全性问题及防范措施
本文地址: https://pptw.com/jishu/774985.html