DHCP Snooping DHCP安全特性

攻击DHCP的三种方法:
1.饿死攻击：
攻击原理：攻击者持续大量的向DHCP Server 申请IP地址，直到耗尽DHCP Server地址池中的IP地址，导致DHCP Server不能给正常的用户进行分配。

2.漏洞分析:DHCP Server像申请者分配ip地址无法区分恶意申请。

3.DHCP中间人攻击

 
DHCP Snooping技术增强网络安全
部署在Switch交换机上（中间交换机）
类似于一个防火墙过滤报文
1.如何防范饿死攻击
检测CHADDR与原MAC进行对比。
发现不一致就丢弃。
2.如何防范仿冒DHCP Server攻击
Trusted信任端口
unTrusted非信任端口
交换机只接收信任端口的报文，不转发非信任端口的报文（丢弃）
添加信任
接口视图或全局视图
dncp snooping trusted
3.防止DHCP中间人攻击
交换机添加DHCP Snooping表
查看映射
攻击不符合的报文

DHCP Snooping与IPSG的联动技术
针对源IP地址的防护