DHCP snooping
1.需求
1.1饿死攻击:某公司出现大面积用用户无法上网的情况,且用户未获取到IP地址,DHCPserver中的地址的地址全被分配出去了。
1.2仿冒者DHCPserver攻击:某公司员工在办公室私接无线设备,导致其他用户无法上网。
2.工作原理
DHCP snooping将交换机上的端口分为信任端口(trust端口)和非信任端口(untrusted端口);与合法的DHCP server 端和DHCP relay端相连的端口即为信任端口,其他为非信任端口。
3.ensp实验
3.1拓扑图如下,在交换机2下接入一台攻击者电脑,所以以交换机2的配置为例。
3.2 DHCP snooping 配置
在交换机2上全局配置:
DHCP enable//使能DHCP服务
DHCP snooping enable//使能DHCP snooping功能
DHCP select detect//使能伪DHCP server探测功能
进入接口模式配置:
DHCP snooping trusted //在接入DHCP server端或者DHCP relay端下的g0/0/1下配置为信任端口
DHCP snooping enable //在使能用户侧接口DHCP snooping功能,接口默认为非信任端口(untrusted)。
3.3查看配置
display dhcp snooping