基于ISC DHCP的简单准入开源方案

实现所需要的组件:

1)LINUX操作系统;ISC-DHCP-SERVER软件

2)支持DHCP Snooping、防ARP中间人攻击的接入交换机

 

实现简单准入的原理:

ISC-DHCP-Server的配置文件dhcpd.conf里面,如果把range语句去掉,就可以不随机分配IP地址,而ISC-DHCP-Server支持IP-MAC绑定功能。所以可以实现对登记过的MAC地址分配IP地址。对于没有登记过的MAC地址不能分配不到IP地址。同时,交换机开启DHCP snooping和ARP防攻击的功能后,终端设置静态IP后也不能入网。因为终端设置了静态IP后,交换机的dhcp snooping绑定表没有该记录。

 

实现流程:

在公司的OA等系统上增加MAC地址登记的功能。然后流程自动转到进行IP-MAC绑定的管理员。

 

该准入的破解方法:

抓包,找到经过登记的MAC地址,然后把自己网卡的MAC设置成该地址。

 

ISC-DHCP-Server配置举例:

subnet 192.168.0.0 netmask 255.255.255.0 {

  option domain-name-servers 192.168.0.1,192.168.20.2;

  option domain-name "chelun.com";

  option subnet-mask 255.255.255.0;

  option routers 192.168.0.1;

  option broadcast-address 192.168.0.255;

  default-lease-time 5760;

  max-lease-time 8640;

host zhangsan {

hardware ethernet 00:01:11:eb:d5:66;

fixed-address 192.168.0.192;

}

}

 

 

交换机配置举例(华为V200R007C00SPC500):

dhcp enable

dhcp snooping enable

interface GigabitEthernet0/0/1                 

arp anti-attack check user-bind enable 

dhcp snooping enable                   

 
posted @ 2023-02-17 17:52  分类DHCP  阅读(390)  评论(0编辑  收藏  举报