DHCP防御

DHCP防御：
攻击者接入底层网络，通过伪装对dhcp服务进行攻击，使其终端获取地址异常或者造成网络瘫痪，甚至导致终端用户信息泄露等安全性问题发生。dhcp防御用于保证客户端从合法的dhcp服务器获取ip地址，并记录dhcp客户端ip地址与mac地址等参数的对应关系，防止网络上针对dhcp攻击。

攻击手段主要分为两类：
1、dhcp防洪攻击，也叫拒绝服务攻击Dos(Denial of service)。场景：
1)非法用户在短时间内发送大量dhcp报文，使dhcp server无法正常处理报文，从而无法为客户端分配ip地址
2)非法用户通过恶意申请ip地址，使dhcp服务器地址池的ip迅速耗尽，无法为合法用户再分配ip地址
3)已获取到ip地址的合法用户通过向服务器发送dhcp Request报文用以续租ip地址。非法用户冒充合法用户不断向dhcp server发送dhcp Request报文来续租ip地址，导致到期的ip地址无法正常回收，新的合法用户不能再获得ip地址
4)已获取到IP地址的合法用户通过向服务器发送dhcp Release报文用以释放ip地址。非法用户仿冒合法用户向dhcp Server发送dhcp Release报文，使合法用户异常下线。

2、dhcp欺骗攻击
网络中如果存在私自假设的dhcp Server仿冒者，则可能导致dhcp客户端获取错误的ip地址和网络参数，无法正常通信。

dhcp防御：
1、dhcp泛洪防御
1)报文限速。通过dhcp报文限速功能，可以防止设备因处理大量dhcp报文，导致cpu负荷过重而无法处理其他业务，分为基于单个交换机端口报文限速和基于源mac地址报文限速
2)限制端口可申请的ip地址数量。限制用户接入数，当用户数达到指定值时，任何用户将无法通过此接口申请到ip地址
3)dhcp续租报文合法性检查。在dhcp server为客户端分配ip的过程中，根据dhcp报文生成dhcp snooping绑定表，该绑定表记录mac地址、ip地址、租约时间、vlan id、接口等信息，然后通过dhcp报文与绑定表的合法性检查，丢弃非法报文，防止dhcp报文仿冒攻击。

2、dhcp欺骗防御
dhcp snooping信任功能可以控制dhcp服务器应答报文的来源，以防止网络中可能存在的dhcp server仿冒者为dhcp客户端分配ip地址及其他配置信息
dhcp snooping功能通过两种方式来控制是否转发dhcp服务器的响应报文
1)信任端口。信任端口正常转发接收到的dhcp应答报文，非信任端口在接收到dhcp服务器响应的dhcp ack、dhcp nak、dhcp offer和dhcp decline报文后，丢弃该报文
2)信任地址。i)信任ip地址，当dhcp响应报文的源ip地址与配置项相匹配时，允许报文通过。ii)信任mac地址，当dhcp响应报文的源mac地址与配置项相匹配时，允许报文通过。iii)信任ip+mac地址是指当dhcp响应报文的源ip和mac地址都与配置项相匹配时，允许报文通过。