DHCP欺骗攻击
解决方案:DHCP snooping
信任接口:接收offer ack 发送discover request
非信任接口:接收discover request 发送 offer ack
将连接DHCP server接口设置为信任端口,默认所有接口为非信任接口
部署:R1模拟主机,R2为真实服务器,R3为攻击者
R1 R2 R3之间连接交换机
R2 R3各自定义地址池
接着R1动态获取地址
接着shutdown,no shutdown后,发现获取的是R3攻击者给的地址
接着做DHCP snooping
针对某些VLAN开启
设置信任接口(默认为非信任,所以只需要定义信任接口)
接着重复shutdown,no shutdown的接口,都会一直获取到的是R2给的地址
在DHCP sever上开启针对DHCP 中继信息信任(真正的服务器对中间设备的信任,也就是交换机)
接着考虑如果是主机不停的发送DHCP请求报文,那么在非信任接口上限值其速率(每秒可以发送多少个包)