DHCP snooping 原理和工作工程：

1.信任功能：

作用：DHCP snooping的信任功能，就是为了让用户从合法的DHCP 服务器上获取到IP地址。
DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口：
	信任端口正常转发接收到的 DHCP 应答报文。
	非信任端口在接收到 DHCP 服务器响应的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 报文后，丢弃该报文。
说明：
管理员在部署网络时，一般将与合法 DHCP 服务器直接或间接连接的端口设置为信任端口，其他端口设置为非信任端口，从而保证 DHCP 客户端只能从合法的 DHCP 服务器获取 IP 地址，私自架设的伪 DHCP 服务器无法为DHCP 客户端分配 IP 地址。

2.基本监听功能：

作用：DHCP Snooping 的基本监听功能，能够记录 DHCP 客户端 IP 地址与MAC地址等参数的对应关系。
由于 DHCP Snooping 绑定表记录了 DHCP 客户端 IP 地址与 MAC 地址等参数的对应关系，故通过对报文与 DHCP Snooping 绑定表进行匹配检查，能够有效的防止攻击者构造合法用户报文对网络进行的攻击。

3.DHCP攻击分类：

1.DHCP仿冒攻击
防御：配置信任接口、配置 DHCP Reply 报文丢弃告警功能。
2.DHCP中间人攻击
防御：DHCP Snooping 绑定表工作模式。当接口接收到 ARP 报文，使用 ARP 报文头中的“源 IP+源 MAC”匹配 DHCP Snooping绑定表。如果匹配就进行转发，如果不匹配就丢弃。
3.改变CHDDR字段的DOS攻击
防御：DHCP Snooping 检查 DHCP 请求报文中 CHADDR 字段的功能。如果该字段跟数据帧头部的源MAC 相匹配，便转发报文；否则，丢弃报文。