DHCP Snooping是啥？

DHCP Snooping是DHCP的一種安全特性，用來(lái)保證DHCP客戶(hù)端能夠正確的從DHCP服務(wù)器獲取IP地址，防止網(wǎng)絡(luò)中針對(duì)DHCP的攻擊。

DHCP Snooping是如何防止DHCP攻擊的呢？

DHCP，動(dòng)態(tài)主機(jī)配置協(xié)議，在IPv4網(wǎng)絡(luò)中為客戶(hù)端動(dòng)態(tài)分配IP地址，采用客戶(hù)端/服務(wù)器通信模式，由客戶(hù)端（DHCP Client）向服務(wù)器（DHCP Server）提出申請(qǐng)，服務(wù)器返回為客戶(hù)端分配的IP信息，包括IP地址、缺省網(wǎng)關(guān)、DNS Server等參數(shù)。

DHCP組網(wǎng)中包括以下兩種角色：

1. DHCP客戶(hù)端（DHCP Client）：通過(guò)DHCP協(xié)議請(qǐng)求獲取IP地址的設(shè)備，如IP電話(huà)、PC等。
2. DHCP服務(wù)器（DHCP Server）：負(fù)責(zé)為DHCP客戶(hù)端分配IP地址的設(shè)備。

DHCP常見(jiàn)攻擊方式

DHCP Server仿冒攻擊：非法用戶(hù)通過(guò)仿冒DHCP Server，為客戶(hù)端分配錯(cuò)誤的IP地址，導(dǎo)致客戶(hù)端無(wú)法正常接入網(wǎng)絡(luò)。

DHCP報(bào)文仿冒攻擊：

1、已獲取到IP地址的合法用戶(hù)通過(guò)向服務(wù)器發(fā)送DHCP Request報(bào)文用以續(xù)租IP地址。非法用戶(hù)冒充合法用戶(hù)不斷向DHCP Server發(fā)送DHCP Request報(bào)文來(lái)續(xù)租IP地址，導(dǎo)致到期的IP地址無(wú)法正?；厥?，新的合法用戶(hù)不能再獲得IP地址。

2、已獲取到IP地址的合法用戶(hù)通過(guò)向服務(wù)器發(fā)送DHCP Release報(bào)文用以釋放IP地址。非法用戶(hù)仿冒合法用戶(hù)向DHCP Server發(fā)送DHCP Release報(bào)文，使合法用戶(hù)異常下線(xiàn)。

DHCP報(bào)文泛洪攻擊：

非法用戶(hù)在短時(shí)間內(nèi)發(fā)送大量DHCP報(bào)文，使DHCP Server無(wú)法正常處理報(bào)文，從而無(wú)法為客戶(hù)端分配IP地址。

DHCP Server拒絕服務(wù)攻擊

1、非法用戶(hù)通過(guò)惡意申請(qǐng)IP地址，使DHCP服務(wù)器中的IP地址快速耗盡，無(wú)法為合法用戶(hù)再分配IP地址

2、DHCP Server通常僅根據(jù)DHCP Request報(bào)文中的CHADDR（Client Hardware Address）字段來(lái)確認(rèn)客戶(hù)端的MAC地址。非法用戶(hù)通過(guò)不斷改變CHADDR字段向DHCP Server申請(qǐng)IP地址，使DHCP服務(wù)器中的IP地址快速耗盡，無(wú)法為合法用戶(hù)再分配IP地址。

DHCP Server仿冒攻擊

配置接入交換機(jī)與DHCP Server相連的接口為信任接口，只有信任接口能夠接收和轉(zhuǎn)發(fā)DHCP報(bào)文。

DHCP報(bào)文仿冒攻擊

在DHCP Server為客戶(hù)端分配IP地址過(guò)程中，根據(jù)DHCP報(bào)文生成DHCP Snooping綁定表，該綁定表記錄MAC地址、IP地址、租約時(shí)間、VLAN ID、接口等信息，然后通過(guò)DHCP報(bào)文與綁定表的合法性檢查，丟棄非法報(bào)文，防止DHCP報(bào)文仿冒攻擊。

DHCP報(bào)文泛洪攻擊

限制DHCP報(bào)文上送CPU的速率。

DHCP Server拒絕服務(wù)攻擊

1、通過(guò)限制DHCP Snooping綁定表的個(gè)數(shù)，限制用戶(hù)接入數(shù)。當(dāng)用戶(hù)數(shù)達(dá)到指定值時(shí)，任何用戶(hù)將無(wú)法通過(guò)此接口申請(qǐng)到IP地址。

2、通過(guò)檢查DHCP Request報(bào)文幀頭MAC與DHCP數(shù)據(jù)區(qū)中CHADDR字段的一致性，丟棄不一致的報(bào)文，防止非法用戶(hù)攻擊。

DHCP Snooping的各種防御方法應(yīng)該怎么配置呢？

DHCP PC1和DHCP PC2通過(guò)SwitchA向DHCP Server申請(qǐng)IP地址。通過(guò)在SwitchA上配置DHCP Snooping功能，防止以下類(lèi)型的攻擊：

1. DHCP Server仿冒攻擊
2. DHCP報(bào)文仿冒攻擊
3. DHCP報(bào)文泛洪攻擊
4. DHCP Server拒絕服務(wù)攻擊、

S交換機(jī)的配置方法如下：

1、全局和接口下使能DHCP Snooping功能。

[SwitchA] dhcp enable //需要先全局使能DHCP功能[SwitchA] dhcp snooping enable[SwitchA] interface gigabitethernet 0/0/1[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable[SwitchA-GigabitEthernet0/0/1] quit[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable[SwitchA-GigabitEthernet0/0/2] quit

2、連接DHCP Server的接口配置為信任接口，防止DHCP Server仿冒者攻擊。

[SwitchA] interface gigabitethernet 0/0/4[SwitchA-GigabitEthernet0/0/4] dhcp snooping enable[SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted[SwitchA-GigabitEthernet0/0/4] quit

3、DHCP報(bào)文與綁定表的合法性檢查，防止DHCP報(bào)文仿冒攻擊。

[SwitchA] dhcp enable[SwitchA] dhcp snooping check dhcp-request enable vlan 10 //對(duì)VLAN 10內(nèi)的用戶(hù)進(jìn)行合法性檢查

4、限制DHCP報(bào)文上送CPU的個(gè)數(shù)，防止DHCP報(bào)文泛洪攻擊。

[SwitchA] dhcp snooping check dhcp-rate enable //使能對(duì)DHCP報(bào)文上送CPU的速率檢測(cè)功能[SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多處理90個(gè)DHCP報(bào)文

5、配置DHCP Snooping綁定表個(gè)數(shù)和DHCP Request報(bào)文幀頭源MAC地址與CHADDR字段一致性檢查功能，防止DHCP Server拒絕服務(wù)攻擊。

[SwitchA] dhcp snooping max-user-number 2 vlan 10 //配置VLAN 10內(nèi)只允許兩個(gè)用戶(hù)接入[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10