实战：DHCP服务器配置与防御欺骗攻击（附华为设备命令）

本文所有实验内容及技术方案仅用于学习交流，禁止用于任何非法用途，因不当使用造成的后果需自行承担。

一、实验背景

本实验基于华为网络设备，通过搭建包含DHCP服务器、DNS服务器、Web服务器及客户端的网络环境，演示DHCP服务配置过程，并模拟攻击者通过伪造DHCP服务器实施钓鱼攻击。最后通过交换机安全功能实现防御。

二、实验拓扑

三、DHCP服务配置全流程

1. 基础网络配置

# 配置路由器R1接口
<Huawei>sys
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.1.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.1.2.254 24

2. DHCP服务器配置（R2）

# 创建地址池
[R2]ip pool R2_POOL
[R2-ip-pool-R2_POOL]network 192.1.1.0 mask 24
[R2-ip-pool-R2_POOL]gateway-list 192.1.1.254
[R2-ip-pool-R2_POOL]dns-list 192.1.2.7  # 合法DNS服务器
[R2-ip-pool-R2_POOL]excluded-ip-address 192.1.1.1 192.1.1.5  # 保留地址

# 启用DHCP服务
[R2]dhcp enable
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]dhcp select global

3. DHCP中继配置（R1）

[R1]dhcp enable
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select relay
[R1-GigabitEthernet0/0/0]dhcp relay server-ip 192.1.2.253  # 指向R2的接口IP

4. IP地址自动分配

之后在主机上开启DHCP功能就可以自动获取ip地址了

四、DHCP欺骗攻击模拟

攻击步骤：

1. 接入伪造DHCP服务器（IP：192.1.2.2）
2. 配置恶意地址池：
   • 网关指向攻击者控制的路由器
   • DNS指向伪造的DNS服务器（192.1.2.2）
3. 客户端获取恶意配置后，访问http://www.a.com将被解析到钓鱼网站

攻击效果验证：​

PC> ipconfig
IPv4 Address........: 192.1.1.6  # 来自伪造地址池
Subnet Mask.........: 255.255.255.0
Default Gateway.....: 192.1.1.253  # 恶意网关
DNS Server..........: 192.1.2.2   # 伪造DNS

五、防御DHCP欺骗攻击

1. 启用DHCP Snooping

[SW1]dhcp enable
[SW1]dhcp snooping enable

2. 设置信任端口

[SW1]interface g0/0/1  # 连接合法DHCP服务器的端口
[SW1-GigabitEthernet0/0/1]dhcp snooping trusted

3. 验证防御效果

# 非信任端口收到DHCP Offer将被丢弃
[SW1]display dhcp snooping packet statistics
  Discarded packets : 5  # 显示拦截的恶意报文

六、实验总结

1. ​DHCP安全要点

   • 必须启用DHCP Snooping并设置信任端口
   • 定期检查DHCP服务器日志

2. ​防御增强建议

   • 结合IP Source Guard防止IP欺骗
   • 配置DAI防御ARP欺骗

3. ​排错技巧

   display dhcp server ip-in-use all  # 查看地址分配情况
   display arp all  # 检查ARP表项一致性