DHCP Snooping技术主要用于DHCP Server仿冒者攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击防范,以抵御网络中针对DHCP的各种攻击。
防止DHCP Server仿冒者攻击
如图1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。
图1 DHCP Client发送DHCP Discover报文示意图
如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误IP地址、网关地址和DNS服务器的等信息。DHCP Client将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。
图2 DHCP Server仿冒者攻击示意图
解决方法
为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。
将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。
图3 Trusted/Untrusted工作模式示意图
配置命令
-
执行命令system-view,进入系统视图。
-
执行命令dhcp snooping enable [ ipv4 | ipv6 ],全局使能DHCP Snooping功能。
-
使能DHCP Snooping功能。
a. 执行命令vlan vlan-id,进入VLAN视图;或执行命令interface interface-type interface-number,进入连接用户的接口视图。
b. 执行命令dhcp snooping enable,使能接口或VLAN下的DHCP Snooping功能。
在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则对该接口下的所有DHCP报文命令功能生效。
-
配置接口为“信任”状态
a. 执行命令interface interface-type interface-number,进入接口视图。
b. 执行命令dhcp snooping trusted,配置接口为“信任”接口。
缺省情况下,接口的状态为“非信任”状态。