DHCP 是用于从 DHCP 池中为主机自动分配有效 IP 地址的协议。 几乎在 TCP/IP 成为行业内用于分配客户端 IP 地址的主要协议的同时,就已经在使用 DHCP。 对交换网络可以执行两种类型的 DHCP 攻击:DHCP 耗竭攻击和 DHCP 欺骗。

在 DHCP 耗竭攻击中,攻击者将使用 DHCP 请求泛洪 DHCP 服务器,以耗尽 DHCP 服务器可以发出的所有可用 IP 地址。 在发出这些 IP 地址后,服务器无法发出更多地址,这种情况将导致新的客户端不能获得网络访问权限,从而实现拒绝服务 (DoS) 攻击。 DoS 攻击是任何使用非法流量过载特定设备和网络服务,从而阻止合法流量访问这些资源的攻击。

在 DHCP 欺骗攻击中,攻击者在网络中配置虚假的 DHCP 服务器向客户端发出 DHCP 地址。 这种攻击的常见原因是强迫客户端使用错误的域名系统 (DNS) 或 Windows Internet 命名服务 (WINS) 服务器并且使客户端使用攻击者或受攻击者控制的计算机作为其默认网关。

通常在 DHCP 欺骗攻击之前会使用 DHCP 耗竭,以便对合法 DHCP 服务器拒绝服务,使其更容易将虚假的 DHCP 服务器引入网络。

要缓解 DHCP 攻击,请使用 Cisco Catalyst 交换机上的 DHCP 侦听和端口安全功能。 这些功能将在后面的主题中涉及。