實(shí)現(xiàn)所需要的組件:
1)LINUX操作系統(tǒng)醇锚;ISC-DHCP-SERVER軟件
2)支持DHCP Snooping拨扶、防ARP中間人攻擊的接入交換機(jī)
實(shí)現(xiàn)簡(jiǎn)單準(zhǔn)入的原理:
ISC-DHCP-Server的配置文件dhcpd.conf里面,如果把range語(yǔ)句去掉,就可以不隨機(jī)分配IP地址持寄,而ISC-DHCP-Server支持IP-MAC綁定功能源梭。所以可以實(shí)現(xiàn)對(duì)登記過(guò)的MAC地址分配IP地址娱俺。對(duì)于沒(méi)有登記過(guò)的MAC地址不能分配不到IP地址稍味。同時(shí),交換機(jī)開(kāi)啟DHCP snooping和ARP防攻擊的功能后荠卷,終端設(shè)置靜態(tài)IP后也不能入網(wǎng)模庐。因?yàn)榻K端設(shè)置了靜態(tài)IP后,交換機(jī)的dhcp snooping綁定表沒(méi)有該記錄油宜。
實(shí)現(xiàn)流程:
在公司的OA等系統(tǒng)上增加MAC地址登記的功能掂碱。然后流程自動(dòng)轉(zhuǎn)到進(jìn)行IP-MAC綁定的管理員。
該準(zhǔn)入的破解方法:
抓包慎冤,找到經(jīng)過(guò)登記的MAC地址疼燥,然后把自己網(wǎng)卡的MAC設(shè)置成該地址。
ISC-DHCP-Server配置舉例:
subnet 192.168.0.0 netmask 255.255.255.0 {
? option domain-name-servers 192.168.0.1,192.168.20.2;
? option domain-name "chelun.com";
? option subnet-mask 255.255.255.0;
? option routers 192.168.0.1;
? option broadcast-address 192.168.0.255;
? default-lease-time 5760;
? max-lease-time 8640;
host zhangsan {
hardware ethernet 00:01:11:eb:d5:66;
fixed-address 192.168.0.192;
}
}
交換機(jī)配置舉例(華為V200R007C00SPC500):
dhcp enable
dhcp snooping enable
interface GigabitEthernet0/0/1? ? ? ? ? ? ? ? ?
arp anti-attack check user-bind enable?
dhcp snooping enable? ? ? ? ? ? ? ? ? ?