DHCP snooping

DHCP耗竭和DHCP欺骗
DHCP耗竭攻击原理
击设备可以在一段时间内，发送大量DHCP请求信息，类是与ＤＯＳ攻击，消耗完DHCP服务器上面的可用地址空间
DHCP欺骗攻击的实施顺序如下：
黑客把未授权的DHCP服务器链接到交换机端口
客户端发送广播，来请求DHCP配置信息
未授权的DHCP服务器在合法的DHCP服务器之前进行应答，为客户端分配攻击者定义的IP配置信息
主机把攻击者提供的不正确的DHCP地址当作网关，从而把数据包发送给攻击者的地址
解决方法:使用DHCP侦听
DHCP侦听是一种DHCP安全特性，它能够顾虑来自网络中主机或着其它设备的非信任DHCP报文。通过建立并维护DHCP监听绑定表，DHCP能够实现上述级别的安全。通过该特性将端口设置为可信端口和不可信端口
DHCP监听特性通常与接口跟踪特性结合使用，交换机将在DHCP报文中插入选项82(Option 82)--中继代理选项
DHCP Snooping配置指南
全局下启用DHCP侦听
   sw(config)#ip dhcp snooping
启用DHCP option 82
   sw(config)#ip dhcp snooping information option
把DHCP服务器所连接接口或上行链路接口配置为可信端口
   sw(config-if)#ip dhcp snooping trust
配置该端口上每秒可接受的DHCP数据包数量
   sw(config-if)#ip dhcp snooping limite rate rate
在指定vlan上启用DHCP snooping特性
   sw(config)#ip dhcp snooping vlan number number

本文出自 “阿建” 博客，谢绝转载！