如何保护计算机网络防止连续的DHCPREQUEST请求？

Question

DHCP客户端可以用更改的MAC地址发送连续的DHCPREQUEST请求。在一个小型网络中，当动态IP地址池很小时，它可能会导致问题。

如何保护计算机网络免受这类行为之害？

Answer 1

在托管的Cisco有线解决方案中，您通常会发现ip窥探与ip arp检查和ip源保护结合使用。

虽然在谷歌搜索同一解决方案之前，我看到其他供应商也提供了很好的保护，防止dhcp饥饿攻击、mac地址欺骗和凸轮表溢出攻击。

答案之一是多种因素的结合，例如可管理的企业访问交换机、修补/配置良好的dhcpd服务器和可以记录网络中发生的事情的好的syslog服务器。

Answer 2

一些更复杂的DHCP解决方案将使用ping或其他活动度量来衡量实际的租约使用情况，而不是总是为整个租约保留地址(就像您所提出的那样，依赖行为不佳的客户端)。这将使他们能够核实和维护仍在使用的租约，并收回发给恶意行为者的租约。大多数(特别是基本的)将简单地到达预订块的末尾，并在租约到期之前停止响应请求。所以，是的，基于租约耗尽的DOS在大多数网络上是很有可能的。但是，其他形式的DOS比较顽皮(例如吸收所有上行带宽，或攻击实际主机)，因此大多数攻击者不会为DHCP带来问题，因此很少考虑缓解对策。