DHCP耗尽攻击及防范

科技信息　ｏ　ＩＴ论坛０　ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹ　ＩＮＦＯＲＭＡＴＩＯＮ　２０１１年第９期　ＤＨＣＰ耗尽攻击及防范　高顾君　（上海交通大学　中国　上海【摘２０００２３）　要】ＤＨＣＰ服务可以说是接入网络的必备服务，但是其在安全方面还存在很多不足之处，其中包括能够引发ＤｏＳ攻击的Ｉｐ耗尽攻　击，ＤＨＣＰ服务器冒用等等。针对攻击的方式，防御的措施有：Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ，ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ和基于ＶＬＡＮ的ＡＣＬ等。本文讨论的主要是ＩＰ耗　尽攻击及防御措施。　【关键词】ＤＨＣＰ；耗尽攻击；Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ；ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ　【Ａｂｓｔｒａｃｔ】ＤＨＣＰ　ｉｓ　ｔｈｅ　ｎｅｃｅｓｓａｒｙ　ｐｒｏｔｏｃｏｌ　ｔｏ　ａｃｃｅｓｓ　ｔｈｅ　ｎｅｔｗｏｒｋ，ｂｕｔ　ｉｔ　ｌｅａｖｅｓ　ｍｕｃｈ　ｔｏ　ｂｅ　ｄｅｓｉｒｅｄ　ｉｎ　ｔｅｒｍｓ　ｏｆ　ｓｅｃｕｒｉｔｙ．Ｉｎｃｌｕｄｅ　ｏｆ　ＩＰ　ａｄｄｒｅｓｓ　ｐｏｏｌ　ｅｘｈａｕｓｔｉｏｎ（ｗｈｉｃｈ　ｌｅａｄｓ　ｔｏ　ａ　ＤｏＳ　ａｔｔａｃｋ）ａｎｄ　ｉｎｓｔａｌｌｉｎｇ　ａ　ｒｏｇｕｅ　ＤＨＣＰ　ｓｅｒｖｅｒ．Ｔｈｅｒｅ　ａｌｅ　ｓｕｃｈ　ｍｅｔｈｏｄｓ　ｔｏ　ａｇａｉｎｓｔ　ｔｈｅ　ａｔｔａｃｋｓ　ｌｉｋｅ：Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ，　ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ　ａｎｄ　ｖｌａｎ—ｂａｓｅｄ　ＡＣＬｓ．　【Ｋｅｙ　ｗｏｒｄｓ］ＤＨＣＰ；Ｅｘｈａｕｓｔｉｏｎ；ｏｒＰｔ　Ｓｅｃｕｒｉｔｙ；ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ　０　引言　当今生活，网络无处不在。ＤＨｃＰ——动态主机配置协议作为一个　应用广泛的ＬＡＮ协议在当今网络中扮演着不可或缺的角色。绝大多　数客户端（ＰＣ，笔记本，工作站，网络设备等）都是通过ＤＨＣＰ动态分　配ＩＰ地址来接入网络。由于ＤＨＣＰ设计之初并没有到考虑安全的因　素，面对如今日益严峻的安全态势以及人们对安全要求的不断提高．　做好ＤＨＣＰ安全工作已成～大课题。如今的不安全因素有：耗尽ＩＰ地　址，发送错误ＩＰ，ＤＮＳ等信息，恶意冒充ＤＨＣＰ服务器，劫持流量等　见表２。　表２　操作代码ＯＰ（１）　硬件类型Ｈｔｙｐｅ（１）　硬件地址长度Ｈｌｅｎ（１１　跳计数Ｈｏｐｓ（１）　事务ＩＤ　Ｔｒａｎｓａｃｔｉｏｎ　ＩＤ（４）　秒数Ｓｅｃｏｎｄｓ（２）　标记Ｈａｇｓ（２）　客户端ＩＰ地址Ｃｉａｄｄｒ（４）　你的ＩＰ地址Ｙｉａｄｄ（４）ｒ　服务器ＩＰ地址Ｓｉａｄｄｒ（４）　代理ＩＰ地址Ｇｉａｄｄｒ（４１　客户端硬件地址Ｃｈａｄｄｒ（１６１　服务器主机名Ｓｎａｍｅ（６４、　等。本文通过对ＤＨＣＰ协议的研究，针对ＩＰ耗尽做出模拟攻击以及提　出与之相应的防范策略。　１　ＤＨＣＰ概述　见图１。　引导文件Ｈｌｅ（１２８）　选项Ｏｐｔｉｏｎ（ｖａｒｉａｂｌｅ１　ｒ—————————————］　ｌ照　＃　个０ＨｃＰ　Ｏｆｆｅｒ鼓据ｌ　一】　目直　ｌ　ｉ．　．．．．．．．．．．．．．．．．．．．．．．　．．　．．．。．．．．．．．．．．．．．．＿Ｊ　１．３　ＤＨＣＰ数据包的内部字段　字段名　操作代码　硬件类型　硬件地址长度　跳计数　事务Ｉｄ　字节数　１　ｌ　ｌ　１　４　描述　ｌ＝ｒｅｑｕｅｓｔ，２＝ｒｅｐｌｙ　ｌ＝１０Ｍｂｉ／ｔｓ以太网　ＭＡＣ地址的长度　Ｒｅｌａｙ　ａｇｅｎｔ　由客户端选择的随机数字，用来使得ｒｅｑｕｅｓｔ／　ｒｅｐｌｙ相互关联　秒数　２　由客户端来填充，自事务开始以后，对流逝的　时间以秒为单位的计数　图１　初试的ＤＨＣＰ数据包交换示意图　标记　客户端ＩＰ　２　４　ｌ＝广播，Ｏ＝其余　对于新的请求，字段为０　】－１各类ＤＨＣＰ数据包定义　见表１。　表１　ＤＨＣＰ消息　定义　你的ＩＰ　服务器ＩＰ　４　４　有服务器提供的地址　在自举过程下一步中使用的地址，有　ＤＨＣＰＯＦＦＥＲ／ＡＣＫ数据报返回　Ｒｅｌａｙ　ａｇｅｎｔ的地址　网关ＩＰ　４　ＤＨＣＰ　客户端发现服务器（广播数据包）　客户端硬件地址　服务器主机名　引导文件　选项　１６　６４　１２８　长度可变　客户端ＩＰ地址　可选　ＤＨＣＰ０ＦＦＥＲ　服务器以单播的方式发送一个包含各种参数（ＩＰ、子网掩码　等）的回应数据包　ＤＨＣＰＲＥＱＵＥＳＴ　客户端对感兴趣的ＤＨＣＰＯＦＦＥＲ数据包发送的广播包　可选　ＤＨＣＰＡＣＫ　ＤＨＣＰＮＡＫ　ＤＨＣＰＲＬＥＡＳＥ　服务器对ＤＨＣＰＲＥＱＵＥＳＴ数据包的确认（单播数据包）　服务器对一个ＤＨｃＰＲＥＱｕＥｓＴ消息的拒绝（单播数据包）　客户端释放自己的ＩＰ地址　１．４　ＤＨＣＰ工作原理　ＤＨＣＰ　Ｃｌｉｅｎｔ向ＤＨＣＰ　Ｓｅｒｖｅｒ发送请求，通常Ｃｌｉｅｎｔ与Ｓｅｒｖｅｒ在网　络中是给路由器和交换机等网络设备搁开，此时的路由器等网络设备　１．２　ＤＨＣＰ数据包格式　扮演的是中继Ｒｅｌａｙ　Ａｇｅｎｔｓ的角色，把Ｃｌｉｅｎｔ的请求转发给服务器。　２０１１年第９期　ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹ　ＩＮＦＯＲＭＡＴＩＯＮ　Ｏ　ＩＴ论ｉｋ　Ｏ　科技信息　Ｃｌｉｅｎｔ侦听端１５为ＵＤＰ６８，Ｓｅｒｖｅｒ侦听端明为ＵＤＰ６７。Ｃｌｉｅｎｔ通过６８　３防御ＤＨＣＰ耗尽攻击　端Ｅｌ向６７端口广播一条ＤＨＣＰＤＩＳＣ０ＶＥＲ消息用以获得一个ＩＰ地　耗尽攻击每次从ＤＨＣＰ服务器请求一个新的ＩＰ地址的时候．都　址。在经过ＤＨＣＰＡＣＫ确认后．Ｃｌｉｅｎｔ得到ＩＰ地址。ＤＨＣＰ数据包可以　会采用一个新的ＭＡＣ，因为一个ＤＨＣＰＤＩＳＣＯＶＥＲ数据包对应一个新　包含如默认网关，ＤＮＳ，ＤＯＭＡＩＮ等信息。多个ＤＨＣＰ　Ｓｅｒｖｅｒ可以在一　的ＭＡＣ，当某一ＶＬＡＮ端Ｅｌ动态学到的ＭＡＣ地址数量激增的时候．　个ＬＡＮ上并存。如果一个Ｃｌｉｅｎｔ收到多个ＤＨＣＰＯＦＦＥＲ数据包，它便　这便是个危险的信号，正常情况下，每个ＶＬＡＮ端口动态学到的ＭＡＣ　可以从其中挑选第一个抵达的回应数据包。　地址数量应该不会超过两个。　由于ＤＨＣＰ　议未考虑安全因素，所以其数据包中不包含任何认　３．１　Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ（端口安全）　证字段或者安全相关的信息。任何人都可以请求ＩＰ地址，当一个　这是基于网络巨头ＣＩＳＣＯ公司产品的安全防范措施。Ｐｏｒｔ　Ｃｌｉｅｎｔ想要获取ＩＰ地址时．会生成一个ＤＨＣＰＲＥＱＵＥＳＴ数据包，并对　Ｓｅｃｕｒｉｔｙ通过控制相同接口能够学习到的ＭＡＣ地址数量来减弱　其中的几个字段进行填充。在ＲＦＣ２１３１中作了如下描述：将客户端标　ＤＨＣＰ攻击。　识符或客户端硬件地址与分配所得的网络地址加以组合，以组成客户　但是Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ有其限制，它只能识别物理包的源ＭＡＣ，如下：　端租约的唯一标识符，并且．ＤＨＣＰ客户端和服务器端同时使用这个　组合，以标识任何ＤＨＣＰ消息中所涉及的租约。ＤＨＣＰ　Ｓｅｒｖｅｉ拥有大量　可供分配的ＩＰ地址，同时Ｓｅｖｅｒ可以根据网关ＩＰ地址来分配给Ｃｌｉｅｎｔ　适合的ＩＰ地址。由于Ｃｌｉｅｎｔ通常不知道自己的网关地址，即客户端的　默认路由器，此时，将Ｃｌｉｅｎｔ的ＤＨＣＰＤＩＳＣＯＶＥＲ中继转发给ＤＨＣＰ　Ｓｅｖｅｒ的首台路由器时会填写网关ＩＰ地址．而此ＩＰ地址就是中继路由　器的接口ＩＰ地址，该接１５是收到Ｃｌｉｅｎｔ发送的初始ＤＨＣＰＤＩＳＣＯＶＥＲ　数据包的接口　斡ｌ露ＤＬＣ　…—－ＤＥＣ　Ｒｅａｄｅｒ…—．　国ＤＬＣ　土　≥ＤＬＣ　ＤＬＣ　一　Ｆｒａｍｅ　３　ａｒｒｉｖｅｄ　ａｔ　２２　０１：２８　９６３４：ｆ　Ｄ嚣￥ｔｊｎａｔｉｏｎ　ＢＲＯＡＤＣＡＳＴ　ＦＦＦＦＦＦＦＦＦＦＦＦ．　酉砸曩—圈圈囊—■—网圈丽啊圈圈暖豳■　》ＤＬＣ　Ｅｔｈｅｒｔｙｐｅ　ｔ　０８００（ＩＰ）　￡　ＤＬＣ：　这是笔者通过Ｓｎｉｆｆｅｒ抓包工具抓得的一个ＤＨＣＰ　ＤＩＳＣＯＶＥＲ　２　ＤＨＣＰ的模拟攻击　了解了ＤＨＣＰ的工作原理，笔者尝试通过耗尽ＤＨＣＰ的地址范围　来攻击ＤＨＣＰ。　攻击思路：客户端只要生成唯一可识别的数据包，首先随机生成　源ＭＡＣ地址，然后将带有伪造ＭＡＣ地址的ＤＨＣＰＤＩＳＣＯＶＥＲ数据　包，服务器端无法辨别主机的真假，便将释放出所有可用的ＩＰ地址。　而一些攻击工具，如Ｙｅｒｓｉｎｉａ能在确保以源ＭＡＣ地址单个、唯一　的同时．对ＣｌｉｅｎｔＨａｒｄｗａｒｅＡｄｄｒｅｓｓ进行随机化填充．如下图　ＤＨＣＰ　Ｃｌｌｅｎｔ　ＩＰ　ａｄｄｒｅｓｓ　ＤＨＣＰ　Ｎｅｘｔ　ｓｅｒｖｅｒ　ｔｏ　ｕｓｅ　ｉｎ　ｂｏｏｔｓｔｒａｐ　ＤＨＣＰ　Ｒｅｌ矗ｙ　Ａｇｅｎｔ　・（０　０　０　０】　【０．０．０　０】　－ｆ　０　０　０　０】　对ＤＨＣＰ　Ｓｅｒｖｅｒ来说，每个数据包都是一个单独而有效的请求，　此时如果一台真正的客户机想获取一个ＩＰ地址，因为所有可用ＩＰ地　对网络设备来说，情况看上去更为正常，在连接攻击者的端口上只能　址已经耗尽，这个请求将给丢弃，无法获取到ＩＰ地址。　学到一个ＭＡＣ地址。由于在设备端口上不会出现多于一个ＭＡＣ地　笔者通过Ｙｅｒｓｉｎｉａ这个工具来达到模拟的效果。（Ｙｅｒｓｉｎｉａ是一款　址．Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ就不会发现任何可疑情况。而采取措施。　针对ＳＴＰ　８０２．１Ｑ，ＤＨＣＰ等二层协议的攻击工具）。　同时ＤＨＣＰ的租约通常以天为计数，而Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ是以分钟计，　首先模拟一台ＷＩＮ２００３主机作为ＤＨＣＰ的Ｓｅｒｖｅｒ　对于经验丰富的攻击者来说可以调整攻击ＭＡＣ地址的节奏，以适应　ｏｒＰｔ　Ｓｅｃｕｒｉｔｙ的计时周期更迭，有效的饶过了Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ　３．２　ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ　ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ在一个ＶＬＡＮ上严密监视并限制ＤＨＣＰ的操作，　通过建立和维护ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ绑定表过滤来自不信任区域的　ＤＨＣＰ信息。ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ允许将某个物理端口设置为信任端口或　不信任端口。Ｃｌｉｅｎｔ仅会发布ＤＨＣＰＤＩＳＣＯＶＥＲ和ＤＨＣＰＲＥＱＵＥＳＴ消　息．非信任端口不会让Ｃｌｉｅｎｔ发出的ＤＨＣＰＯＦＦＥＲ和ＤＨＣＰＡＣＫ数据　包进入网络设备．因此可以将ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ看为一台放置在信任和　不信任端口之间的防火墙。它从每个信任端口收集动态ＩＰ和ＭＡＣ的　绑定信息，通过对ＤＨＣＰ数据包的监测，网络设备了解到一个ＤＨＣＰ　Ｓｅｒｖｅｒ已将ＩＰ地址分配给一个给定的ＶＬＡＮ内某一特定的端口，该　然后在Ｕｂｎｎｔｕ系统上启用Ｙｅｒｓｉｎｉａ发动攻击　Ｃｌｉｅｎｔ由一个唯一的ＭＡＣ地址来标识，该ＤＨＣＰ动态ＩＰ和ＭＡＣ的绑　定信息包含ＩＰ地址，ＭＡＣ地址，租期和接口等信息。在为一个端口创　：：；：ｒｔ　ａ鬻ｎ　ｔ。＝　，ｒａｃ鍪　ｋ　ｓ攀　‘：：　：：嚣。：　”““　一　秘ｉ　建了条目之后，该绑定信息会与进入的ＤＨＣＰ消息进行比较。如果包　含在ＤＨＣＰ数据包中的信息与绑定信息不匹配，则标记为一个错误状　态，将该ＤＨＣＰ包丢弃。　ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ安全特性：　每端口的ＤＨＣＰ消息速率限制　为每一个端口配置阀值，用来限定第端口每秒可以接收的ＤＨＣＰ　稍等片刻后，主机的ＤＨＣＰ可供分配的ＩＰ地址已经给耗尽　数据包的最大数目，超过便关闭端口，用以防止ＤｏＳ攻击。　ＤＨＣＰ消息确认　对信任端口上收到的ＤＣＨＰ消息，不做任何措施。对非信任端口　上收到的ＤＨＣＰ消息．会采取如下措施：　ＤＨＣＰ　Ｓｅｒｖｅｒ发往ＤＨＣＰＮＡＫ被全部丢弃。　消息　Ｃｌｉｅｎｔ的ＤＨＣＰＯＦＦＥＲ．ＤＨＣＰＡＣＫ和　丢弃中继代理／网关ＩＰ地址段非０或ｏｐｔｉｏｎ宇段为８２的ＤＨＣＰ　将ＤＨＣＰＲＥＬＥＡｓＥ／ＤＨｃＰＤＥＣｕＮＥ消息于绑定条目进行核实，以　防止恶意释放或拒绝已经租用的合法ＩＰ。　丢弃源ＭＡＣ地址与Ｃｌｉｅｎｔ硬件地址字段不匹配的　ＤＨＣＰＤＩＳＣＯＶＥＲ消息。　Ｏｐｔｉｏｎ　８２的插入和移除　ＤＨＣＰ　ｏｐｔｉｏｎ　８２是为了增强ＤＨＣＰ　Ｓｅｒｖｅｒ的安全（下转第６页）　２０１１年第９期　ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹ　ＩＮＦＯＲＭＡＴＩＯＮ　ｏ本刊重稿。　科技信息　４．１　注重案饲的收集与整理　运用所学知识，通过分析、思考、判断，做出自己的决策，实现从理论到　案例教学法的关键是案例，依据这些案例来展开教学。但教学实　实践的转化．使学生在校园内就能接触并学习到大量的社会实际问　践中这些案例的收集却是七零八落、支离破碎的，有必要加强对案例　题，弥补实践的不足和实际运作能力匮乏的缺陷。　的收集和整理。案例收集的途径主要有：第一，组织学生通过上网、去　此外，随着信息技术的不断发展与进步，案例教学的手段和方法　图书馆、阅览室、书店、走访景区、旅行社等方式收集案例，规定学生每　也可以更加丰富和多样化。除了文字资料的收集和讲解外，还可以通　两周完成一篇导游案例，注明出处，写出阅读心得作为课程作业：第　过录像、多媒体等手段进行更加生动、直观的教学。　二，教师在批改作业过程中，发现新的、有价值的案例便及时补充到教　总之，通过案例教学法等教学方法在《导游业务》课程中的运用，　案中。这些都可以形成与教学相配套的《导游服务案例精选》。　必将丰富我们的教学方式，改进现有的教学方法，充分调动学生学习　４．２注重调动学生积极性和主动性　的积极性和主动性，对其独立思考、获取知识、解决问题等方面能力的　案例教学中，教师的职责是精心选择、编写案例，并组织和指导课　培养发挥积极的作用。ｌ　堂讨论，防止课堂讨论的气氛过于冷漠或激烈。学生作为案例教学的　主体，他们的参与更显得极为重要。在教师的指导下．学生积极参与、　【参考文献】　深入到案例所描述的情景中，充分体验案例角色，对案例进行分析、讨　［１］王志国．浅论《导游实务》课程中案例教学的运用【ＪＪ．内江科技，２００６（６）：５９．　论，并在此过程中相互学习。在这个教学过程中，不仅存在着教师个体　［２］史美兰．体会哈佛案例教学ｆＪ］．国家行政学院学报，２００５（２）：４２．　和学生个体的交流　还存在着老师个体与学生群体、学生个体与学生　［３］朱金生，刘耀辉．案例教学法在教学中的应用探讨【ＪＪ．理工高教研究，２００５（６）：　个体、学生群体与学生群体的交流，也就是师生互动、生生互动。实践　６６．　证明，案例教学质量提升的关键是充分调动学生学习的主观能动性。　［４］陈万明．案例教学的针对性原则及其运用要领探讨【Ｊ】．中国大学教学，２００６　４．３　注重案例教学过程的设计　（１　１）：２３—２４．　［５］张定方．旅游管理案例教学法的评价与效果分析叨．南宁师范高等专科学校　与传统的教学法不同，案例教学法的整个教学过程一直是动态　学报，２００９（１）：１０１—１０２．　的。首先，综合性的案例分析应在单项案例分析基础上进行；案例分析　的形式可以是书面的也可以采用课堂讨论的方式。采用课堂讨论的方　作者简介：张丹宇（１９６５一），女，云南昆明人，云南师范大学旅游与地理科　式　一定要在之前让学生做好充分准备，认真阅读相关材料并提出思　学学院，副教授，主要从事旅游管理的教学与研究。　考和解决问题的方法。在讨论中，教师除了指定学生代表发言、阐述观　点，组织同学进行辩论外，还应根据讨论的情况实时地提出启发性问　※基金项目：教育部“旅游管理与服务教育”全国第二类特色专业　题引导辩论的深入。最后，在进行课堂讨论的点评。这样，有助于培养　建设项目阶段性成果（ＴＳ２３８０ｈ　学生的独立思考能力、获取知识的能力以及语言表达的能力。　４．４注重案例教学的实践环节　［责任编辑：汤静］　通过案例教学，可以让学生充当案例发生中的各种各样的角色，　（上接第６Ｏ页）性，改善ＩＰ地址配置策略而提出的一种ＤＨＣＰ选项。　多个ＩＰ地址。　Ｏｐｔｉｏｎ　８２为ＤＨＣＰ　Ｓｅｒｖｅｒ提供信息：ＤＨＣＰ　Ｒｅｑｕｅｓｔ数据包来自哪个　网络设备以及该设备的哪个端口。该信息由中继信息，ＤＨＣＰ　Ｏｐｔｉｏｎ，　４结束语　代理ＩＤ和电路ＩＤ来提供。当从非受信任端口向ＤＨＣＰ服务器转发　随着网络规模的扩大化和网络环境的复杂化，ＤＨＣＰ服务已是无　ＤＨＣＰ　Ｒｅｑｕｅｓｔ消息时，可在其Ｒｅｑｕｅｓｔ消息中插入ＤＨＣＰ中继Ｏｐｔｉｏｎ　所不在。由于先天的安全性方面的不足，导致ＤＨＣＰ很容易受到ＩＰ地　８２选项，然后再把该消息转发给ＤＨＣＰ　Ｓｅｒｖｅｒ，支持Ｏｐｔｉｏｎ　８２功能的　址耗尽，ＤＨＣＰ服务劫持，信息嗅探等攻击。笔者使用ＬＩＮＵＸ下的攻击　ＤＨＣＰ　Ｓｅｒｖｅｒ接收到消息后，根据预先配置策略和消息中Ｏｐｔｉｏｎ　８２信　工具对ＤＨＣＰ展开了模拟的攻击，导致ＤＨＣＰ可用地址的耗尽，并通　息分配ＩＰ地址和其它配置信息给Ｃｌｉｅｎｔ，同时ＤＨＣＰ　Ｓｅｒｖｅｒ也可以依　过分析攻击原理．基于目前主流网络设备的防范特性，如Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ，　据Ｏｐｔｉｏｎ　８２中的信息识别可能的ＤＨＣＰ攻击信息并做出防范。ＤＨＣＰ　ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ以及ＶＬＡＮ访控列表来针对ＤＨＣＰ耗尽攻击提出防　中Ｒｅｌａｙ　Ａｇｅｎｔ收到Ｓｅｗｅｒ应答消息后，剥离其中的ｏｐｔｉｏｎ　８２选项并　范思路与方案，更大限度地来保障ＤＨＣＰ服务的安全与有效运行。锰　根据选项中的物理端口信息，把应答消息转交到网络接入设备的指定　端口　【参考文献】　３．３基于ＶＬＡＮ的访问列表　ｆ１＿李洋．ＬＩＮＵＸ安全技术内幕．清华大学出版社，２０１０．　如果有的网络设备不支持Ｐｏｒｔ　Ｓｅｃｕｒｉｔｙ和ＤＨｃＰ　Ｓｎｏｏｐｉｎｇ，可以　［２］Ｓｃａｎ　Ｃｏｎｖｅｒｙ．王迎春，谢琳，译．网络安全体系结构．人民邮电出版社，２００５．　利用基于ＶＩＡＮ的访问列表来防范特定ＤＨＣＰ的攻击。ＤＨＣＰ　Ｃｌｉｅｎｔ　［３］Ｅｒｉｃ　Ｖｙｎｅｋｅ，Ｃｈｒｉｓｔｏｐｈｅｒ　Ｐａｇｇｅｎ．局域网交换机安全．孙余强，孙剑，译．人民邮　会从ＵＤＰ　６８端口向ＵＤＰ６７端口广播ＤＨＣＰＤＩＳＣＯＶＥＲ消息，如果　电出版，２０１０．　ＤＨＣＰ　Ｓｅｒｖｅｒ没有涉及ＵＤＰ　６７端口的服务，可以配置访问列表来组　［４］Ｊｏｎｅｓ，Ｓｔｅｖｅｎ．Ａ　ｔｏｏｌ　ｔｏ　ａｕｄｉｔ　ＤＨＣＰ　ｎｅｔｗｏｒｋｓ．２００３．　塞源自ＵＤＰ　６７端口的所有流量。但是这对于ＤＨＣＰ的耗尽攻击没有　作用．因为攻击者可以通过发送多个ＤＨＣＰＤＩＳＣＯＶＥＲ数据包来获得　［责任编辑：常鹏飞］　上接第６４页）５结束语　２００１．　［２］王殊，阎毓杰，胡富平，等．无线网络传感器网络的理论及应用［Ｍ］．北京：北京　我们相信，ＲＦＩＤ技术在商品防伪领域必将引起一场重大变革，　航空航天大学出版社．２００７：１４３—１６５．　ＲＦＩＤ可以实现商品供应链的可视化管理，通过与现有信息技术相结　［３］赵军辉．射频识别技术与应用．北京：机械工业出版社，２００８：１－２２．　合，大大提高造假难度，有效提升防伪能力。今后ＲＦＩＤ必将成为商品　［４］余雷．基于ＲＦＩＤ电子标签的物联网物流管理系统叨．微计算机信息，２００６．　防伪领域的一项重要技术手段。　［５］余其炯诱人的ＲＦＩＤ应用前景．中国数据通信，２００４．　【参考文献】　［责任编辑：曹明明］　［１］ＦｉｎｋｅｎｚｅｌｔｅｒＫ．射频识别（ＲＦ１Ｄ）技术．２版．陈大才，译．北京：电子工业出版社　６