Linux DHCP安全性问题及防范措施

Linux DHCP安全性问题与防范措施

一 常见威胁与风险

• DHCP服务器伪装与未授权分配：恶意设备冒充DHCP服务器下发网关、DNS等参数，导致中间人与流量劫持。
• DHCP饿死与报文洪泛：伪造大量DHCP请求/报文耗尽地址池或占用CPU/带宽，引发拒绝服务。
• 报文伪造与续租劫持：伪造DHCP REQUEST/RELEASE 等报文，干扰正常租约或释放他人地址。
• 地址冲突与ARP欺骗：错误地址分配或ARP投毒，造成网络不稳定与会话劫持。
• 客户端侧漏洞导致代码执行：如 CVE-2018-1111（dhclient/NetworkManager WPAD 选项注入），攻击者可获取root权限；另有 CVE-2018-5732/5733 影响服务器/客户端稳定性与可用性。
• 权限与隔离不足：DHCP服务以高权限运行、配置与租约文件权限不当、缺少chroot隔离，扩大被攻陷后的影响面。

二 服务器端加固清单

• 最小化监听与接口绑定：仅在特定接口提供DHCP服务（如 INTERFACESv4=“eth0” 或编辑 /etc/sysconfig/dhcpd 设置 DHCPDARGS=eth0），减少攻击面。
• 权限与文件安全：限制配置与租约文件访问，例如：
  • chmod 640 /etc/dhcp/dhcpd.conf；chown root:dhcpd /etc/dhcp/dhcpd.conf
  • chmod 640 /var/lib/dhcp/dhcpd.leases；chown dhcpd:dhcpd /var/lib/dhcp/dhcpd.leases
• chroot监牢：将 dhcpd 运行在受限根目录，降低被攻陷后的横向移动风险。
• 权威模式与未知客户端控制：在 dhcpd.conf 中使用 authoritative; 并结合 allow/deny unknown-clients; 仅对受管设备分配地址。
• 地址冲突检测：启用 ping-check on; ping-timeout 2; 减少冲突与ARP风暴。
• 租约与地址池：合理规划 subnet / range，根据场景设置 default-lease-time / max-lease-time，必要时缩短租约以降低被滥用窗口。
• 静态绑定与精细化选项：对关键设备使用 host { hardware ethernet …; fixed-address …; }；仅下发必要 option，谨慎开启 ddns-update-style 与客户端更新，避免不必要的DNS动态更新。
• 日志与审计：在 dhcpd.conf 设置 option log-facility local7;，并在 rsyslog 中输出到 /var/log/dhcpd.log，定期审计配置与租约变更。
• 补丁与版本管理：及时更新 ISC DHCP 与相关组件，修复如 CVE-2016-2774、CVE-2017-3144、CVE-2018-5732/5733 等已知漏洞。

三 交换机与网络层防护

• DHCP Snooping：在接入交换机全局启用，并将上联/合法DHCP服务器端口设为 trust，其余端口为 untrust，仅允许来自信任端口的DHCP响应。
• 速率限制与洪泛防护：对未信任端口启用 DHCP报文速率检测/限速，超出阈值的报文直接丢弃，缓解饿死与洪泛。
• 绑定表校验与ARP防护联动：基于 DHCP Snooping 绑定表（IP/MAC/VLAN/端口） 校验后续 DHCP REQUEST/RELEASE 合法性，并与 DAI（Dynamic ARP Inspection） 联动，阻断ARP欺骗与中间人。
• 接入控制：结合 802.1X 做设备身份准入，未认证设备不授予网络访问与DHCP服务能力。

四 客户端与容器场景

• 及时打补丁：修复客户端脚本漏洞（如 CVE-2018-1111），并更新 dhclient/NetworkManager 等组件；在 Ubuntu 上，默认 AppArmor 配置可一定程度缓解 CVE-2018-5732 的影响，但仍需尽快升级。
• 最小权限与隔离：避免以 root 运行不必要的网络服务；容器/虚拟化环境中，谨慎使用 hostNetwork，为容器提供最小必要的网络命名空间与分段。
• 静态租约与白名单：对关键主机使用 固定IP/静态租约，减少被伪造DHCP影响的概率。
• 多服务器与容灾：规划 DHCP Failover 或多作用域分布，提升可用性与故障切换能力。

五 快速核查清单