15. Security Considerations (安全考虑)

15. Security Considerations (安全考虑)

RFC 3315 第 23 节 "Security Considerations" 中描述了 DHCP 中的安全考虑。

恶意的委派路由器可以向请求路由器发出虚假前缀。这可能由于不可达而导致拒绝服务。

恶意的请求路由器可能能够通过重复请求委派前缀来耗尽委派路由器的可用前缀, 从而发起拒绝服务攻击。

为了防范通过前缀委派的攻击, 请求路由器和委派路由器应该使用 RFC 3315 第 21 节 "Authentication of DHCP messages" 中描述的 DHCP 身份验证。对于点对点链路, 如果信任没有中间人, 或者信任第二层身份验证, 则可能不需要 DHCP 身份验证或 IPsec。由于请求路由器和委派路由器必须各自至少有一个分配的 IPv6 地址, 因此路由器可能能够使用 IPsec 对 DHCPv6 消息进行身份验证。使用 IPsec 进行 DHCPv6 的详细信息正在开发中。

配置了委派前缀的网络应该配置为排除有意或无意的这些前缀的不当通告。