DHCP snooping

DHCP耗竭和DHCP欺骗
DHCP耗竭攻击原理
击设备可以在一段时间内,发送大量DHCP请求信息,类是与DOS攻击,消耗完DHCP服务器上面的可用地址空间
DHCP欺骗攻击的实施顺序如下:
黑客把未授权的DHCP服务器链接到交换机端口
客户端发送广播,来请求DHCP配置信息
未授权的DHCP服务器在合法的DHCP服务器之前进行应答,为客户端分配攻击者定义的IP配置信息
主机把攻击者提供的不正确的DHCP地址当作网关,从而把数据包发送给攻击者的地址
解决方法:使用DHCP侦听
DHCP侦听是一种DHCP安全特性,它能够顾虑来自网络中主机或着其它设备的非信任DHCP报文。通过建立并维护DHCP监听绑定表,DHCP能够实现上述级别的安全。通过该特性将端口设置为可信端口和不可信端口
DHCP监听特性通常与接口跟踪特性结合使用,交换机将在DHCP报文中插入选项82(Option 82)--中继代理选项
DHCP Snooping配置指南
全局下启用DHCP侦听
   sw(config)#ip dhcp snooping
启用DHCP option 82
   sw(config)#ip dhcp snooping information option
把DHCP服务器所连接接口或上行链路接口配置为可信端口
   sw(config-if)#ip dhcp snooping trust
配置该端口上每秒可接受的DHCP数据包数量
   sw(config-if)#ip dhcp snooping limite rate rate
在指定vlan上启用DHCP snooping特性
   sw(config)#ip dhcp snooping vlan number number

本文出自 “阿建” 博客,谢绝转载!

你可能感兴趣的:(服务器,客户端,信息,黑客,数据包,DHCP监听)