DHCP Snooping是一种DHCP安全特性,通过MAC地址限制,DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS***、DHCP Server仿冒***、ARP中间人***及IP/MAC Spoofing***的问题。DHCP Snooping的作用就如同在Client和DHCP Server之间建立的一道防火墙。

DHCP Snooping技术可以防止以下五方面的DHCP***:

 

1、防止DHCP Server仿冒者***

       当网络中存在DHCP Server仿冒者时,DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS服务器、错误的IP等,从而使Client无法访问网络。

       为了避免受到DHCP Server仿冒者的***,可以在设备上配置DHCP Snooping功能,把用户侧的接口配置为Untrusted模式,把运营商网络侧的接口配置为Trusted模式,凡是从Untrusted接口收到的DHCP Relay报文全部丢弃。

 

2、防止中间人与IP/MAC Spoofing ***DHCP Server

       当网络中存在中间人或者IP/MAC Spoofing***时,***者仿冒Server和Client,在服务器看来,所有的报文都是来自或者发往客户端;在客户端看来,所有的报文也都是来自或者发往服务器端。但实际上这些报文都是经过了中间人的“二手”信息。这样仿冒者就可以获得Server和Client的数据。

       为了避免受到中间人与IP/MAC Spoofing***,可以在设备上配置DHCP Snooping功能,使用DHCP Snooping绑定功能,只有接收到的报文的信息和绑定表中的内容一致才会被转发,否则报文将被丢弃。

 

3、防止***者通过改变CHADDR值***DHCP Server

       当网络中存在DHCP饿死***时,***者改变的不是数据帧头部的源MAC,而是改变DHCP报文中的CHADDR(Client Hardware Address)值来不断申请IP地址。如果路由器仅根据数据帧头部的源MAC来判断该报文是否合法,那么“MAC地址限制”方案不能完全起作用,这样的***报文还是可以被正常转发。

       为了避免受到***者改变CHADDR值的***,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,便转发报文;否则,丢弃报文。

 

4、防止***者仿冒DHCP续租报文***DHCP Server

       当网络中存在***者时,***者通过不断发送DHCP Request报文来冒充用户续租IP地址,这样一方面会导致一些到期的IP地址无法正常回收,另外也不是用户的真实意图。

       为了避免受到***者仿冒DHCP续租报文进行***,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文和使用DHCP Snooping绑定功能,只有接收到的报文的信息和绑定表中的内容一致才会被认为是正常的申请报文,报文被转发,否则报文将被丢弃。

 

5、防止***者发送大量的DHCP Request报文***DHCP Server

       当网络中的***者通过不断地发送DHCP Request报文来申请IP地址,这样一方面会导致设备的DHCP表项变得很大,另外对设备的协议栈造成影响。

       为了避免受到***者发送大量DHCP Request报文进行***,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文和限制报文的上送速率,在一定的时间内只允许规定数目的报文上送协议栈,多余的报文将被丢弃。

文章出处:http://www.net1980.com/2011/01/24/dhcp-snooping/