1. 防止未授权DHCP服务器响应
使用DHCP Snooping技术(在交换机上启用),监视并过滤DHCP流量,仅允许授权的DHCP服务器响应客户端请求;结合动态ARP检查(DAI),确保只有通过DHCP Snooping验证的IP地址才能响应ARP请求,防止ARP欺骗攻击。此外,配置DHCP服务器授权(在Windows域环境中,将DHCP服务器加入域并授权;在CentOS中可通过dhcpd.conf设置authoritative参数),拒绝未经授权的DHCP服务器接入网络。
2. 访问控制与流量限制
通过访问控制列表(ACL)限制DHCP客户端的范围(如在交换机或防火墙上配置ACL,仅允许特定VLAN或IP段的设备发送DHCP请求);使用IP地址与MAC地址绑定(在dhcpd.conf中配置host条目,将特定MAC地址与固定IP地址关联,如host server1 { hardware ethernet 00:0c:29:ab:cd:ef; fixed-address 192.168.1.100; }),防止IP地址被非法盗用。同时,配置DHCP中继代理的白名单(在/etc/sysconfig/dhcrelay中添加--whitelist参数,如RELAYOPTIONS="-u -m --whitelist 192.168.1.10"),仅接受指定DHCP服务器的响应。
3. 系统与服务加固
定期更新系统及DHCP软件包(使用yum update命令),安装最新的安全补丁,修复已知漏洞;配置SELinux策略限制DHCP服务权限(如将DHCP服务设置为enforcing模式,通过semanage命令调整端口标签),防止非法进程篡改服务;使用chroot牢笼技术(通过mkjailenv、addjailsw等命令创建chroot目录,将DHCP服务限制在隔离环境中),减少攻击面。
4. 日志监控与应急响应
启用DHCP服务器日志记录(在/etc/dhcp/dhcpd.conf中设置log-facility local7,并在/etc/rsyslog.conf中添加local7.* /var/log/dhcp.log),记录DHCP请求、分配及错误信息;使用监控工具(如Zabbix、Nagios)实时监控DHCP服务的状态(CPU、内存使用率、租约数量),设置异常报警(如租约数突增、服务宕机);定期分析日志(如通过grep、awk命令筛选异常请求,如同一MAC地址频繁请求IP),及时发现潜在攻击(如DHCP饥饿攻击)。
5. 客户端安全配置
在CentOS客户端上,编辑/etc/dhcp/dhclient.conf文件,使用supersede选项覆盖DHCP服务器提供的非必要配置(如DNS服务器,supersede domain-name-servers 8.8.8.8;),require选项确保获取关键配置(如子网掩码、DNS服务器,require subnet-mask, domain-name-servers;),并调整timeout(超时时间)和retry(重试次数)参数(如timeout 30; retry 5;),避免长时间等待无效响应。若无需动态IP,可在网络接口配置文件(如/etc/sysconfig/network-scripts/ifcfg-eth0)中设置静态IP(BOOTPROTO=static、IPADDR=192.168.1.100、NETMASK=255.255.255.0),减少对DHCP的依赖。
