DHCP Snooping技术简介

       DHCP Snooping是一种DHCP安全特性，经过MAC地址限制，DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息，解决了设备应用DHCP时遇到DHCP DoS***、DHCP Server仿冒***、ARP中间人***及IP/MAC Spoofing***的问题。DHCP Snooping的做用就如同在Client和DHCP Server之间创建的一道防火墙。

DHCP Snooping技术能够防止如下五方面的DHCP***：

 

一、防止DHCP Server仿冒者***

       当网络中存在DHCP Server仿冒者时，DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误的网关地址、错误的DNS服务器、错误的IP等，从而使Client没法访问网络。

       为了不受到DHCP Server仿冒者的***，能够在设备上配置DHCP Snooping功能，把用户侧的接口配置为Untrusted模式，把运营商网络侧的接口配置为Trusted模式，凡是从Untrusted接口收到的DHCP Relay报文所有丢弃。

 

二、防止中间人与IP/MAC Spoofing ***DHCP Server

       当网络中存在中间人或者IP/MAC Spoofing***时，***者仿冒Server和Client，在服务器看来，全部的报文都是来自或者发往客户端；在客户端看来，全部的报文也都是来自或者发往服务器端。但实际上这些报文都是通过了中间人的“二手”信息。这样仿冒者就能够得到Server和Client的数据。

       为了不受到中间人与IP/MAC Spoofing***，能够在设备上配置DHCP Snooping功能，使用DHCP Snooping绑定功能，只有接收到的报文的信息和绑定表中的内容一致才会被转发，不然报文将被丢弃。

 

三、防止***者经过改变CHADDR值***DHCP Server

       当网络中存在DHCP饿死***时，***者改变的不是数据帧头部的源MAC，而是改变DHCP报文中的CHADDR（Client Hardware Address）值来不断申请IP地址。若是路由器仅根据数据帧头部的源MAC来判断该报文是否合法，那么“MAC地址限制”方案不能彻底起做用，这样的***报文仍是能够被正常转发。

       为了不受到***者改变CHADDR值的***，能够在设备上配置DHCP Snooping功能，检查DHCP Request报文中CHADDR字段。若是该字段跟数据帧头部的源MAC相匹配，便转发报文；不然，丢弃报文。

 

四、防止***者仿冒DHCP续租报文***DHCP Server

       当网络中存在***者时，***者经过不断发送DHCP Request报文来冒充用户续租IP地址，这样一方面会致使一些到期的IP地址没法正常回收，另外也不是用户的真实意图。

       为了不受到***者仿冒DHCP续租报文进行***，能够在设备上配置DHCP Snooping功能，检查DHCP Request报文和使用DHCP Snooping绑定功能，只有接收到的报文的信息和绑定表中的内容一致才会被认为是正常的申请报文，报文被转发，不然报文将被丢弃。

 

五、防止***者发送大量的DHCP Request报文***DHCP Server

       当网络中的***者经过不断地发送DHCP Request报文来申请IP地址，这样一方面会致使设备的DHCP表项变得很大，另外对设备的协议栈形成影响。

       为了不受到***者发送大量DHCP Request报文进行***，能够在设备上配置DHCP Snooping功能，检查DHCP Request报文和限制报文的上送速率，在必定的时间内只容许规定数目的报文上送协议栈，多余的报文将被丢弃。

文章出处：http://www.net1980.com/2011/01/24/dhcp-snooping/