基于DHCP的简单准入开源方案
实现所需要的组件:
1)LINUX操作系统;ISC-DHCP-SERVER软件
2)支持DHCP Snooping、防ARP中间人攻击的接入交换机
实现简单准入的原理:
ISC-DHCP-Server的配置文件dhcpd.conf里面,如果把range语句去掉,就可以不随机分配IP地址,而ISC-DHCP-Server支持IP-MAC绑定功能。所以可以实现对登记过的MAC地址分配IP地址。对于没有登记过的MAC地址不能分配不到IP地址。同时,交换机开启DHCP snooping和ARP防攻击的功能后,终端设置静态IP后也不能入网。因为终端设置了静态IP后,交换机的dhcp snooping绑定表没有该记录。
实现流程:
在公司的OA等系统上增加MAC地址登记的功能。然后流程自动转到进行IP-MAC绑定的管理员。
该准入的破解方法:
抓包,找到经过登记的MAC地址,然后把自己网卡的MAC设置成该地址。
ISC-DHCP-Server配置举例:
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.1,192.168.20.2;
option domain-name "chelun.com";
option subnet-mask 255.255.255.0;
option routers 192.168.0.1;
option broadcast-address 192.168.0.255;
default-lease-time 5760;
max-lease-time 8640;
host zhangsan {
hardware ethernet 00:01:11:eb:d5:66;
fixed-address 192.168.0.192;
}
}
交换机配置举例(华为V200R007C00SPC500):
dhcp enable
dhcp snooping enable
interface GigabitEthernet0/0/1
arp anti-attack check user-bind enable
dhcp snooping enable