DHCP Snooping技術簡介

       DHCP Snooping是一種DHCP安全特性，經過MAC地址限制，DHCP Snooping安全綁定、IP + MAC綁定、Option82特性等功能過濾不信任的DHCP消息，解決了設備應用DHCP時遇到DHCP DoS***、DHCP Server仿冒***、ARP中間人***及IP/MAC Spoofing***的問題。DHCP Snooping的做用就如同在Client和DHCP Server之間創建的一道防火牆。

DHCP Snooping技術能夠防止如下五方面的DHCP***：

 

一、防止DHCP Server仿冒者***

       當網絡中存在DHCP Server仿冒者時，DHCP Server仿冒者回應給DHCP Client仿冒信息，如錯誤的網關地址、錯誤的DNS服務器、錯誤的IP等，從而使Client沒法訪問網絡。

       爲了不受到DHCP Server仿冒者的***，能夠在設備上配置DHCP Snooping功能，把用戶側的接口配置爲Untrusted模式，把運營商網絡側的接口配置爲Trusted模式，凡是從Untrusted接口收到的DHCP Relay報文所有丟棄。

 

二、防止中間人與IP/MAC Spoofing ***DHCP Server

       當網絡中存在中間人或者IP/MAC Spoofing***時，***者仿冒Server和Client，在服務器看來，全部的報文都是來自或者發往客戶端；在客戶端看來，全部的報文也都是來自或者發往服務器端。但實際上這些報文都是通過了中間人的「二手」信息。這樣仿冒者就能夠得到Server和Client的數據。

       爲了不受到中間人與IP/MAC Spoofing***，能夠在設備上配置DHCP Snooping功能，使用DHCP Snooping綁定功能，只有接收到的報文的信息和綁定表中的內容一致纔會被轉發，不然報文將被丟棄。

 

三、防止***者經過改變CHADDR值***DHCP Server

       當網絡中存在DHCP餓死***時，***者改變的不是數據幀頭部的源MAC，而是改變DHCP報文中的CHADDR（Client Hardware Address）值來不斷申請IP地址。若是路由器僅根據數據幀頭部的源MAC來判斷該報文是否合法，那麼「MAC地址限制」方案不能徹底起做用，這樣的***報文仍是能夠被正常轉發。

       爲了不受到***者改變CHADDR值的***，能夠在設備上配置DHCP Snooping功能，檢查DHCP Request報文中CHADDR字段。若是該字段跟數據幀頭部的源MAC相匹配，便轉發報文；不然，丟棄報文。

 

四、防止***者仿冒DHCP續租報文***DHCP Server

       當網絡中存在***者時，***者經過不斷髮送DHCP Request報文來冒充用戶續租IP地址，這樣一方面會致使一些到期的IP地址沒法正常回收，另外也不是用戶的真實意圖。

       爲了不受到***者仿冒DHCP續租報文進行***，能夠在設備上配置DHCP Snooping功能，檢查DHCP Request報文和使用DHCP Snooping綁定功能，只有接收到的報文的信息和綁定表中的內容一致纔會被認爲是正常的申請報文，報文被轉發，不然報文將被丟棄。

 

五、防止***者發送大量的DHCP Request報文***DHCP Server

       當網絡中的***者經過不斷地發送DHCP Request報文來申請IP地址，這樣一方面會致使設備的DHCP表項變得很大，另外對設備的協議棧形成影響。

       爲了不受到***者發送大量DHCP Request報文進行***，能夠在設備上配置DHCP Snooping功能，檢查DHCP Request報文和限制報文的上送速率，在必定的時間內只容許規定數目的報文上送協議棧，多餘的報文將被丟棄。

文章出處：http://www.net1980.com/2011/01/24/dhcp-snooping/