1.信任功能:
作用:DHCP snooping的信任功能,就是为了让用户从合法的DHCP 服务器上获取到IP地址。
DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口:
信任端口正常转发接收到的 DHCP 应答报文。
非信任端口在接收到 DHCP 服务器响应的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 报文后,丢弃该报文。
说明:
管理员在部署网络时,一般将与合法 DHCP 服务器直接或间接连接的端口设置为信任端口,其他端口设置为非信任端口,从而保证 DHCP 客户端只能从合法的 DHCP 服务器获取 IP 地址,私自架设的伪 DHCP 服务器无法为DHCP 客户端分配 IP 地址。
2.基本监听功能:
作用:DHCP Snooping 的基本监听功能,能够记录 DHCP 客户端 IP 地址与MAC地址等参数的对应关系。
由于 DHCP Snooping 绑定表记录了 DHCP 客户端 IP 地址与 MAC 地址等参数的对应关系,故通过对报文与 DHCP Snooping 绑定表进行匹配检查,能够有效的防止攻击者构造合法用户报文对网络进行的攻击。
3.DHCP攻击分类:
1.DHCP仿冒攻击
防御:配置信任接口、配置 DHCP Reply 报文丢弃告警功能。
2.DHCP中间人攻击
防御:DHCP Snooping 绑定表工作模式。当接口接收到 ARP 报文,使用 ARP 报文头中的“源 IP+源 MAC”匹配 DHCP Snooping绑定表。如果匹配就进行转发,如果不匹配就丢弃。
3.改变CHDDR字段的DOS攻击
防御:DHCP Snooping 检查 DHCP 请求报文中 CHADDR 字段的功能。如果该字段跟数据帧头部的源MAC 相匹配,便转发报文;否则,丢弃报文。
更多推荐
DHCP snooping 原理和工作工程:
发布评论