嗨，大家好，小老虎今天為大家?guī)?lái)了DHCP Snooping的工作原理，小本本準(zhǔn)備好，我們要開(kāi)始啦！

DHCP Snooping顧名思義是跟DHCP有關(guān)的，他是DHCP的一種安全特性，用于保證DHCP客戶端從合法DHCP服務(wù)器獲取IP地址，并記錄HDCP客戶端IP地址與MAC地址參數(shù)的對(duì)應(yīng)關(guān)系，防止網(wǎng)絡(luò)上針對(duì)DHCP攻擊。

DHCP Snooping有以下兩種功能：

1.信任功能：DHCP Snooping信任功能將接口分為信任接口和非信任接口，這樣能夠保證客戶端從合法的服務(wù)器獲取IP地址

2.分析功能：開(kāi)啟DHCP Snooping功能后，設(shè)備能夠通過(guò)分析DHCP報(bào)文交互的過(guò)程，生成DHCP Snooping綁定表，綁定表項(xiàng)包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口以及該接口所屬的VLAN，租約信息。

DHCP Snooping在哪些場(chǎng)景中能夠應(yīng)用呢？

1.防止DHCP Server仿冒者攻擊

攻擊原理：

由于DHCP Server和DHCP Client之間沒(méi)有認(rèn)證機(jī)制，所以當(dāng)網(wǎng)絡(luò)中隨意增加一臺(tái)DHCP服務(wù)器，他就可以冒充真正的服務(wù)器給網(wǎng)絡(luò)中的其他設(shè)備分配IP地址和其他網(wǎng)絡(luò)參數(shù)。如果該DHCP服務(wù)器分配的IP地址是錯(cuò)誤的，那就會(huì)對(duì)網(wǎng)絡(luò)造成非常大的影響。

解決方法：

如圖所示，為了防止DHCP Server仿冒者攻擊，可以將設(shè)備上接口配置為“Trusted”和“Untrusted”工作模式。將與合法的DHCP服務(wù)器的連接用“Trusted”接口，其他接口設(shè)置為“Untrusted”接口，當(dāng)從“Untrusted”接口收到DHCP回應(yīng)報(bào)文將直接丟棄，這樣就可以防止DHCP Server仿冒者的攻擊。

2.DHCP報(bào)文防洪攻擊

攻擊原理：

網(wǎng)絡(luò)中的某臺(tái)攻擊設(shè)備，向服務(wù)器發(fā)送大量的DHCP Discover報(bào)文，導(dǎo)致服務(wù)器處理不過(guò)來(lái)，最后服務(wù)器癱瘓。

解決方法：

在使能設(shè)備的DHCP Snooping功能時(shí)，可同時(shí)使能設(shè)備對(duì)DHCP報(bào)文上送DHCP報(bào)文處理單元的速率進(jìn)行檢測(cè)的功能。此后，設(shè)備將會(huì)檢測(cè)DHCP報(bào)文的上送速率，并僅允許在規(guī)定速率內(nèi)的報(bào)文送至DHCP報(bào)文處理單元，而超過(guò)規(guī)定速率的報(bào)文將會(huì)被丟棄。

3.DHCP Server服務(wù)拒絕攻擊（餓死）

攻擊原理：

如圖所示，假設(shè)interface 1接口下存在大量攻擊者惡意申請(qǐng)的IP地址，那么就會(huì)導(dǎo)致DHCP Server中的IP地址快速耗盡而不能為其他合法用戶提供IP地址分配服務(wù)。

解決方法：

為了抑制大量的DHCP用戶惡意申請(qǐng)IP地址，在使能設(shè)備的DHCP Snooping功能后，可配置設(shè)備接口允許接入的最大DHCP用戶數(shù)，當(dāng)接入的用戶數(shù)達(dá)到該值時(shí)，則不再允許任何用戶通過(guò)此設(shè)備或接口成功申請(qǐng)到IP地址。

看完我們小老虎的DHCP Snooping的工作原理，你學(xué)會(huì)了沒(méi)？評(píng)論點(diǎn)贊來(lái)一波，讓小老虎看到大家都有在努力學(xué)習(xí)！

當(dāng)然，如果覺(jué)得今天的學(xué)習(xí)還不夠盡興，可以掃描我們下方二維碼，直接參與我們的直播課程！六IE講師閆輝在線答疑！直播更有精彩好禮送不停！等你來(lái)哦～