针对 DHCP 的攻击行为
DHCP 饿死:攻击者通过向 DHCP 服务器发送大量的 DHCP Discover 报文且每个报文的源 MAC 地址都不一样,使得 DHCP 服务器内的可以 IP 地址快速消耗殆尽。
DHCP欺骗:攻击者通过在网络中搭建 DHCP 服务器,此时终端用户获取到攻击者 DHCP 服务器的 IP 地址,导致无法上网或者流量先经过攻击者在转发出去存在信息安全风险。
作用
保证 DHCP 客户端从合法的 DHCP 服务器获取 IP 地址,并记录 DHCP 客户端 IP 地址与 MAC 地址等参数的对应关系建立和维护一个 DHCP Snooping绑定表 (MAC、IP、租期、VLAN、接口),并对 DHCP 报文进行过滤和限速,有效防止网络中存在针对 DHCP 的攻击行为。
端口类型
Trunsted
接收的 DHCP 报文:正常接收并处理 DHCP 的 Discover、offer、Request、Ack、Nak、Release 报文。
发送的 DHCP 报文:正常发送 DHCP 的 Discover、offer、Request、Ack、Nak、Release 报文。
Untrusted
接收的 DHCP 报文:正常接收并处理 DHCP 的 DIScover、Request、Release 报文,不接收 Offer、Ack、Nak 报文。
发送的 DHCP 报文:正常发送 DHCP 的 Offer、Ack、Nak报文,不能发送 Discover、Request、Release 报文。
绑定表
开启 DHCP Snooping 的设备收到 ACK 报文后,会从该报文中读取相关信息,生成 DHCP Snooping 的绑定表(MAC、IP、VLAN、Interface),接收到的报文信息和绑定表中的内容一致才会转发,否则就会被设备丢弃。
配置命令
基本配置
1、dhcp snooping enable //全局视图或者 VLAN 视图开启 DHCP Snooping 功能。
2、dhcp snooping trusted //配置 DHCP Snooping 的信任接口。
安全特性配置
1、dhcp snooping check dhcp-rate enable //开启 DHCP 速率检查功能。
2、dhcp snooping check dhcp-rate //配置速率上限
3、dhcp snooping max-user-number //配置最大用户数量。
4、dhcp snooping check dhcp-chaddr enable //检测 DHCP Request 报文帧头源 MAC 地址与 CHADDR 字段是否相同,如果不同则丢弃该报文。
5、dhcp snooping user-offline remove mac-address //DHCP 用户下线后及时删除对应的 MAC 地址表项。
查看信息
display dhcp snooping configuration //查看 DHCP Snooping 配置
display dhcp snooping user-bind all //查看 DHCP 绑定表。