DHCP Snooping技术

最新推荐文章于 2024-05-21 19:32:19 发布
最新推荐文章于 2024-05-21 19:32:19 发布
阅读量799 收藏 3
点赞数
分类专栏: cisco
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elearnings/article/details/38963643
版权

DHCP Snooping技术介绍  

       1.介绍DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP RequestDHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

作用:dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

当一个交换机接收一个包(一个非可信接口,且接口属于某个vlan(DHCP snooping启用时)),交换机比较源mac地址和DHCP客户端硬件地址。如果地址匹配,交换机转发数据包,如果地址不匹配,交换机丢弃数据包。

当发生处于以下情景时,交换机丢弃一个DHCP包:

      (1)外网或者防火墙的外的DHCP的包

        (2)处于非可信接口,源地址和DHCP客户端硬件地址不匹配

         (3)交换机接收到一个DHCPRELEASE或者DHCPDECLINE广播消息(有一个MAC地址在DHCP snooping绑定数据库),但与数据库中的信息不匹配。

          (4)dhcp relay agent转发一个DHCP包,包括一个agent ip地址(而非0.0.0.0)


2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ipmac地址生成的,二是可以手工指定。这张表是后续DAIdynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。

2.配置

switchconfig#ip dhcp snooping switchconfig#ip dhcp snooping vlan 10 

switchconfig-if#ip dhcp snooping limit rate 10 /*dhcp包的转发速率,超过就接口就shutdown,默认不限制
switchconfig-if#ip dhcp snooping trust /*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ipmac地址的绑定,默认是非信任端口"

switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10/*这样可以静态ipmac一个绑定;
switchconfig#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table/*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftptftpflash皆可。本例中的dhcp_table是文件名,而不是文件夹,同时文件名要手工创建一个。 

honghu79
关注
专栏目录
DHCP Snooping
u013111726的博客
05-15 1988
DHCP SnoopingDHCP被用于动态地址分发,极大的降低了终端接入网络的简易性,但是协议本身没有任何的安全保护机制,非常容易被针对攻击。同一广播域中一旦出现虚假DHCP Server,终端获取的地址将极有可能是虚假DHCP Server推送的IP地址,导致广播域中很大一部分终端无法上网。DHCP Snooping功能概述对非信任接口收到的DHCP等报文过滤限制DHCP速率维护DHCP sn...
DHCP snooping
zlw的博客
05-01 718
一.采用DHCP服务的常见问题   架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突   1、DHCP Server的冒充 ...
DHCP Snooping技术介绍
weixin_33967071的博客
11-21 140
1.介绍DHCP Snooping技术DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。   当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的D...
DHCP Snooping技术简介
weixin_34111819的博客
02-18 272
DHCP Snooping是一种DHCP安全特性,通过MAC地址限制,DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS***、DHCP Server仿冒***、ARP中间人***及IP/MAC Spoofing***的问题。DHCP Snooping的作用就...
dhcp snooping.doc
05-24
"DHCP Snooping 技术要点" DHCP Snooping 是一种 DHCP 安全特性,主要用于防止 DHCP 服务器的冒充、DHCP 服务器的 DOS 攻击、客户端随意指定 IP 地址等问题。本文将详细介绍 DHCP Snooping技术要点和常见问题。 ...
DHCP 安全-- DHCP Snooping技术应用
IT界的无名小卒
02-15 1688
关于DHCP在之前的文章中也提到过,它是为网络中的终端提供IP地址的服务。DHCP为网络管理员在IP地址分配任务上减轻了很大的压力,而且DHCP服务也简化了对IP地址分发的管理。管理员可以很轻松直观地在DHCP服务器上查看IP地址的使用情况。但是DHCP天生有一个缺陷,就是在DHCP服务器与客户端在IP地址请求和分发的过程中,缺少认证机制。所以网络中如果出现一台非法的DHCP服务器为客户端提供非法的IP地址,那么就黑客就可以做一些中间人攻击的操作,给网络的安全性带来了隐患。为了消除这一隐患,我们可以通过DH
DHCP Snooping应用
qq_32044265的博客
05-25 2452
DHCP Snooping技术主要用于DHCP Server仿冒者攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击防范,以抵御网络中针对DHCP的各种攻击。 防止DHCP Server仿冒者攻击 如图1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。 图1 DHCP Client发送DHCP Dis
DHCP Snooping解决DHCP服务器问题.doc
01-07
DHCP Snooping技术应运而生,它主要用于交换机,工作在接入层,监控并控制DHCP报文的传播。开启DHCP Snooping后,交换机会将所有接口设为非信任状态,只允许来自信任接口的DHCP响应通过,从而防止非法DHCP服务器的...
DHCPv6 snooping
qq_18631331的博客
06-27 3003
DHCP V6简要说明ipv6存在三种IP地址配置方式,一种是动态配置(dhcp)是本文介绍的主要对象;一种是无状态地址自动配置(SLAAC,即设备中生成IP),这个是DNP snooping关心的,本文不涉及;第三种就是静态配置,即用户手动设置,是本文中防护措施需要考虑的场景之一。DHCPv6 是DHCP协议的ipv6版本。该协议允许终端快速自动地获取IPV6地址。该协议方便网络管理员管理和验证...
snooping安全技术分析
weixin_34408717的博客
09-15 108
DHCP简化了配置,提高了管理效率。但是也带来安全隐患。 常见的有: 无赖(rouge)DHCP服务器 l DHCP耗竭*** l Ip地址冲突 一  无赖(rouge)DHCP服务器    由于DHCP服务器和客户端之间没有认证机制,网络上随意架设一台无赖DHCP服务器,给客户分配错误的IP地址,那就会对网络造成非常大的危害。  二 DHCP耗竭**...
DHCP Snooping配置以及介绍
GUOJUNWEI11的博客
11-22 2086
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping配置教程
热门推荐
杨奇的博客
04-24 2万+
DHCP Snooping的基本原理: 开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。 简单一句话,就是I...
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 4324
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
思科实验配置DHCP Snooping
最新发布
Againmmm的博客
05-21 972
DHCP Snooping 的配置和调试方法。配置静态端口安全、动态端口安全和粘滞端口安全的方法
【学习笔记】IGMP snooping原理
WFlySky的博客
04-17 3106
为什么要运行snooping? 作用1: 不运行就在本Vlan泛洪(导致有一些不想接收组播流量客户端来说,也会泛洪给它,浪费客户端的带宽资源,也会导致SW开销加大,性能下降)。 运行了就会产生组播转发表项,通过snooping表项,将组播流量发送给接收者 作用2: 由于IP组播地址,会以32:1的方式映射成MAC,对于接收者来说,他要接受239.1.1.1的组播流量,很有可能也会受到239.129.1.1的流量,会收到两份组播流量,因为这两份组播流量的MAC地址一样。接受了之后,交给CPU,只有去掉MAC地
DHCP Snooping技术详细介绍
04-21
DHCP Snooping是一种网络安全技术,可以确保网络中DHCP服务器只分配IP地址给授权的客户端。...DHCP Snooping技术可以有效避免网络中的IP冲突、ARP攻击、恶意DHCP服务器等问题,提高网络的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值