作为一名合格的网工，你必须掌握的 DHCP Snooping 知识！

DHCP Snooping 顾名思义是跟 DHCP 有关的，他是 DHCP 的一种安全特性，用于保证 DHCP 客户端从合法 DHCP 服务器获取 IP 地址，并记录 HDCP 客户端 IP 地址与 MAC 地址参数的对应关系，防止网络上针对 DHCP 攻击

​

DHCP Snooping 有以下两种功能：

1. 信任功能：DHCP Snooping 信任功能将接口分为信任接口和非信任接口，这样能够保证客户端从合法的服务器获取 IP 地址

2. 分析功能：开启 DHCP Snooping 功能后，设备能够通过分析 DHCP 报文交互的过程，生成 DHCP Snooping 绑定表，绑定表项包括客户端的 MAC 地址、获取到的 IP 地址、与 DHCP 客户端连接的接口以及该接口所属的 VLAN，租约信息。

DHCP Snooping 在哪些场景中能够应用呢？

1. 防止 DHCP Server 仿冒者攻击

攻击原理：

由于 DHCP Server 和 DHCP Client 之间没有认证机制，所以当网络中随意增加一台 DHCP 服务器，他就可以冒充真正的服务器给网络中的其他设备分配 IP 地址和其他网络参数。如果该 DHCP 服务器分配的 IP 地址是错误的，那就会对网络造成非常大的影响。

解决方法：

如图所示，为了防止 DHCP Server 仿冒者攻击，可以将设备上接口配置为 “Trusted” 和 “Untrusted” 工作模式。将与合法的 DHCP 服务器的连接用 “Trusted” 接口，其他接口设置为 “Untrusted” 接口，当从 “Untrusted” 接口收到 DHCP 回应报文将直接丢弃，这样就可以防止 DHCP Server 仿冒者的攻击。

2.DHCP 报文防洪攻击

攻击原理：

网络中的某台攻击设备，向服务器发送大量的 DHCP Discover 报文，导致服务器处理不过来，最后服务器瘫痪。

解决方法：

在使能设备的 DHCP Snooping 功能时，可同时使能设备对 DHCP 报文上送 DHCP 报文处理单元的速率进行检测的功能。此后，设备将会检测 DHCP 报文的上送速率，并仅允许在规定速率内的报文送至 DHCP 报文处理单元，而超过规定速率的报文将会被丢弃。

3.DHCP Server 服务拒绝攻击（饿死）

攻击原理：

如图所示，假设 interface 1 接口下存在大量攻击者恶意申请的 IP 地址，那么就会导致 DHCP Server 中的 IP 地址快速耗尽而不能为其他合法用户提供 IP 地址分配服务。

解决方法：

为了抑制大量的 DHCP 用户恶意申请 IP 地址，在使能设备的 DHCP Snooping 功能后，可配置设备接口允许接入的最大 DHCP 用户数，当接入的用户数达到该值时，则不再允许任何用户通过此设备或接口成功申请到 IP 地址。