怎样对付无赖DHCP服务器恶意软件

【.com 综合消息】最近出现了关于“无赖DHCP服务器”恶意软件的报告——这种恶意软件是一种自动在受害者的网络上安装攻击者自己的DHCP服务器，并和受害者的合法服务器竞争的木马。通过无赖DHCP服务器，攻击者可以拦截和重定向来自任何使用动态主机配置协议（DHCP）的设备的流量，包括工作站，打印机，笔记本电脑，复印机等。

动态主机配置协议发展于90年代初，用以方便网络维护和设置，但其一直有固有的安全漏洞。幸运的是，有一些经过时间考验的解决方案，可以用来检测和抵御无赖DHCP服务器的恶意软件。

当支持DHCP的客户端（例如，一台笔记本电脑）连接到网络，它会发出广播消息搜索DHCP服务器。本地DHCP服务器响应一个分配给你的笔记本电脑的IP地址，及其他本地的配置信息，如DNS服务器的IP地址和网关的IP地址。一旦沟通完成，笔记本电脑就可以配置自己的IP信息并与IP网络上的其他终端通信。

多亏有了DHCP，移动设备可以在不必手动更改其IP地址设置的条件下，实现从无线网络区到家庭网络、到公司网络之间的自由切换，大型企业可以部署或重新部署成百上千台服务器，而无需手动地去逐个更改网络的设置。

关注DHCP安全

然而，DHCP自它出现以来就存在众所周知的安全问题。可以追溯到1993年的最初的DHCP说明，有一节叫做“安全注意事项”，内容如下：

“…当前形式的DHCP是相当不安全的。可以很容易地设置未经授权的DHCP服务器。这些服务器可以发送虚假和具有潜在破坏性的信息给客户，比如不正确或重复的IP地址、不正确的路由信息（包括欺诈路由器等）、不正确的域名服务器地址（如欺诈域名服务器）等等。”

在某些方面来看，DHCP协议正常运营了16年却没有出现泛滥的DHCP问题是很惊人的。至少自2001年以来，就出现了著名的能自动执行DHCP的man-in-the-middle攻击的工具。网络嗅探器工具（比如Ettercap，类似今天的恶意软件）发现了其中存在一个重大的问题：根据标准的DHCP实施方案，没有方法能使客户端识别出合法的DHCP服务器。（2001年，IETF发布了一个验证DHCP的规范，但供应商和管理者还没有广泛地实施这一规范。）

因此，你的笔记本电脑信任所有的DHCP服务器响应，并认定他们同样有效。 运行在被感染的工作站上的“无赖”DHCP服务器，可以用虚假的配置数据回应你发出的DHCP请求。如果无赖服务器的信息第一个到达，你的笔记本电脑可能会接受有毒的配置信息。

“无赖”DHCP服务器恶意软件的出现

2008年12月，“Trojan.Flush.M”恶意软件被发现。该木马会自动设置一个无赖DNS服务器，目标是传递恶意域名服务器地址给毫无防范的客户。例如，当你的笔记本电脑尝试更新其DHCP租约，一个Trojan.Flush.M无赖DHCP服务器可能会迅速给出一个有毒的DHCP响应，其中包含攻击者的域名服务器IP地址。

如果你的笔记本电脑接受这一信息，那么任何时候你输入一个新的域名到Web浏览器，你的笔记本电脑将向攻击者的域名服务器查询对应该域名的IP地址。你可能输入“http://bankofamerica.com”，而攻击者可能会回应一个虚假的某个著名美国银行的钓鱼网站，这将导致你的浏览器加载一个恶意网页。无赖DHCP服务器也可以用于通讯的拦截和窃听。被感染的工作站可以给你的笔记本电脑发送一个虚假的网关IP地址，把所有笔记本对外发出数据流重定向到黑客的计算机。攻击者可在随后检查数据流发现有用的数据，然后转发数据流到真正的网关，或者只是阻止它并实施拒绝服务攻击。

这听起来很复杂，但经过16年多的发展，DHCP攻击工具已经相当成熟了。使用Ettercap软件，任何人都可以点几下鼠标就展开DHCP的man-in-the-middle攻击。此外，一个被感染的工作站可在不被用户发现的情况下危害整个子网的流量。

如何阻止无赖DHCP服务器的恶意软件攻击

幸运的是，多年来有效的防御工具相继出现。多网络交换机厂商提供了内置的“DHCP监听”功能，在交换机一级阻止不可信的DHCP服务器的信息流。 “DHCP监听”设备也能跟踪MAC地址，IP地址分配和相应的端口，确保只有合法的连接才被允许通信。

你可以用一些工具扫描你网络上的无赖DHCP服务器，如DHCP Sentry，Roadkil.net’s DHCP Find，Dhcploc.exe 或dhcp_probe。一些DHCP服务器扫描工具具有内置的电子邮件和即时报警功能，这样一旦他们侦测到潜在的无赖DHCP服务器就可以马上警告系统管理员。网络入侵检测系统也可以进行相应的设定，从而检测并提醒潜在的无赖DHCP服务器的数据流。

适当的网络分割将有助于防止包含无赖DHCP服务器。这样，即使一个恶意软件感染了一个子网并植入了欺诈DHCP，损失也是有限的。最后，监听你内部网络上的关于客户的错误配置信息的迹象是个好方法，比如意料外的、地址可疑的域名服务器流量。正如我们知道的Trojan.Flush.M，不正确的DNS设置可能是一个无赖DHCP服务器的征兆。

无赖DHCP服务器恶意软件是老概念的一个新转变。好消息是，存在有效的减少这种威胁的策略；而坏消息是，许多组织都没有尽力去这样去做。在你的基础设施支持的条件下，请小心地划分你的网络段、配置DHCP监听、监控你的内部网络流量，并及时应对可疑的活动。和通常的道理一样，最好的安全策略是严密布防。