近期有个项目,负责为某单位建设态势感知平台,项目中除基本态势感知功能外还有3个定制需求,今天就针对其中的一个进行分享~
需求:检测接入到网络当中的非法DHCP server(这里的DHCP server主要针对无线路由器,当然还可以预防一定的中间人攻击)
为什么要有这样的需求呢?
客户现场某内网,终端统一采用DHCP方式获取IP,且网络规模较大,且分散,网络结构为核心层、汇聚层、接入层,因客户现场都为不懂技术的普通员工,私接无线路由器的事时有发生。
据了解DHCP server配置在汇聚交换机上。
售前给出的方案是通过流量探针对镜像流量进行处理,把生成的日志发送给态势感知平台,态势感知平台同过配置告警规则就可以得出是否有非法DHCP server接入到网络中。
好像上面方案针对需求没毛病,但是。。。
在这里不得不吐槽,当方案到我手里的时候已经距离计划验收剩3个星期了,看到方案我整个心态炸了,一方面是新版探针不支持解析dhcp数据包,二是探针处理的是核心交换的流量,根本检测不到汇聚和接入交换的流量,
情况反馈项目经理,一方面是协调产线去加班加点开发相应功能,二是反馈dhcp检测范围,项目经理给出的解决方案是功能具备,到时候就建议客户多买探针(本人感觉这种说法很逗,客户也不是傻子,虽然不是很懂技术,但客户对自己的需求很明确)
就这样一个星期功能开发完毕,对接态势感知完成,核心倒是检测到一部分dhcp服务但不多
本来打算一直隐瞒到项目验收阶段,可是纸包不住火,客户想测试一下,没办法,只好和客户坦白,不过在坦白之前我已经想好对策,就是建议客户从交换机上入手,配置dhcp snooping直接可以阻断非法DHCP server,并建议客户很多问题可以从交换机上入手,虽然公司定制开发团队很厉害,但是有些违背基础原理的还是无法实现的
索性客户比较好说话,让我协助进行测试,再找集成商的进行刷配置
首先在核心上测试了接入无线路由,可以检测到无线路由器,并产生了相应告警
接着在接入交换机上测试开启dhcp snooping功能,的确可以成功阻断该dhcp server
但是目前的配置只是阻断了,交换机上没有产生对应日志,后来咨询华三后得知一条命令就可以产生该日志(这里不得不吐槽华三400,你必须得有在维保内的序列号才可以咨询。。。)
就这样,非法DHCP server 检测危机过去了。。。
# 全局开启DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable
# 设置GigabitEthernet1/0/1端口为信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上开启DHCP Snooping表项功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit
dhcp snooping binding record命令用来启用端口的DHCP Snooping表项记录功能(据华三厂家介绍开启该功能即可产生阻断日志,当然前提还得配置好syslog转发功能)
关于通过流量检测识别dhcp server的方式可以参考:https://blog.csdn.net/killmice/article/details/53007476中的“DHCP报文类型”那些数据包是dhcp server向dhcp client发送的就可以通过配置规则实现dhcp server发现。
文章中如有不足之处欢迎指出,最后希望销售,售前,项目经理,工程师可以和谐相处,实现客户成功~
标签:SwitchB,开玩笑,GigabitEthernet1,server,dhcp,DHCP,snooping From: https://blog.51cto.com/u_13474721/5786034