IP DHCP SNOOPING工作原理测试

最新推荐文章于 2023-10-23 12:02:53 发布
最新推荐文章于 2023-10-23 12:02:53 发布
阅读量307 收藏 1
点赞数
文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33805743/article/details/85068532
版权

一.工作原理:

A.在指定VLAN启用DHCP Snooping后,将端口分为Trusted接口和Untrusted接口,默认VLAN所有接口都变为Untrusted接口,需要手动设置Trusted接口。

B.对于Untrusted接口,只能接收DHCP的请求消息,不会向这个接口发送出DHCP的请求消息。

C.对于Untrusted接口,从接口进入的DHCP的响应消息也会被drop掉

D.对于Trusted接口,没有任何限制,也不做检测。

---测试后觉得这个不确切,Trusted接口如果没有DHCP请求包进入,不会发出DHCP响应包

---当DHCP服务器和DHCP客户端都属于Trusted接口,DHCP客户端是能正常获取IP地址的

---也就是说Trusted口有DHCP请求包进入时,才会发出DHCP响应包

另外测试中还发现:

①对于思科路由器,如果修改接口mac,交换机不知道是伪造的,最后拿到IP的进入dhcp snooping binding绑定表

②但是不知道为什么貌似交换机能识别windows主机修改了自己的mac地址

---虽然它从DHCP服务器那里成功的获取了IP地址,但是dhcp snooping binding表里面不会增加记录

---把交换机清空配置,重启这种情况没有出现,我还以为交换机怎么能识别出来的呢

---重启交换机后,windows主机照也能冲掉路由器在交换机dhcp snooping binding表的记录

③同一VLAN ,CAM表不会记录重复的mac地址条目,后到的会冲掉之前的
---即使windows修改接口MAC地址会被DHCP snooping发现,但是CAM表是被更新的

---如果属于不同的VLAN重复的mac地址是会被CAM表记录的

二.测试拓扑:

170912713.jpg

三.验证:

A.交换机在VLAN开启DHCP Snooping之后,VLAN所有接口默认都为Untrust接口

----不用验证,省略

B.Untrust接口只接收DHCP请求的数据包,不会发出DHCP请求的数据包

---这个可以把R1作为DHCP客户端,R2作为DHCP服务器端,连接PC1的接口默认Untrust和修改为Trust来进行验证

①如果没有开启DHCP Snooping,在PC上面能够抓到所有的DHC广播包

②开启DHCP Snooping后,如果连接PC1的接口为Untrusted口,在它上面抓包,收不到任何DHCP的广播包

③开启DHCP Snooping后,如果连接PC1的接口为Trusted口,在它上面抓包,可以抓到DHCP Discover包和DHCP Request包(都是有客户端发送的广播包,收不到服务器发送的广播包),并且可以看到开启DHCP Snooping之后,DHCP Discover包增加了82选项

④关于82选项

---交换机开启DHCP Snooping之后默认是会添加的,可以在交换机上通过SW1(config)#no ip dhcp snooping information option 取消掉

---对于思科路由器作为DHCP服务器情况,因为它能识别82选项,当发现DHCP Discover包含82选项,而又不是由DHCP Relay发送过来的,不会给客户端分派IP地址,除非通过如下全局命令或接口命令信任82选项:

R2(config)#ip dhcp relay information trust-all

R2(config-if)#ip dhcp relay information trusted
---值得注意的是,如果交换机开启了DHCP Snooping,又没有关闭82选项,那么在作为DHCP中继的路由器全局或接口也得开启信任82选项,否则路由器不会中继DHCP Discover包

---像微软的DHCP服务器,其压根就识别不了82选项,因而会忽略掉82选项

C.对于Untrust接口,从接口进入的DHCP响应包会丢弃

---这个不好测试,只能通过DHCP中继来测试

①当交换机没有开启DHCP Snooping时,PC1可以收到R2发给它的DHCP Offer包(DHCP响应包)

②当交换机开启DHCP Snooping且不配置任何口为信任口时,PC1无法收到DHCP包,并且有如下日志:

Mar  1 18:42:53.774: %DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port, message type: DHCPOFFER, MAC sa: 0002.0002.0002

③当交换机开启DHCP Snooping,仅配置连接R2的接口为信任口时,PC1无法收到DHCP包

④当交换机开启DHCP Snooping,同时配置连接R2和PC1的接口为信任口时,PC1可以收到R2发给它的DHCP Offer包(DHCP响应包)

D.对于Trusted接口,没有任何限制,也不做检测。

---通过上面的测试,其实这个说的不是很确切,Trusted接口因为是已知的连接DHCP服务器的接口,所以交换机把其他DHCP响应包都过滤掉了,不从该接口发出其他DHCP服务器响应的广播包。




weixin_33805743
关注
DHCP的防御机制——DHCP Snooping(DHCP监听)
qq_40741808的博客
05-18 6422
这里写目录标题DHCP SnoopingDHCP监听)简介好处DHCP Snooping原理描述信任端口功能DHCP监听表DHCP 攻击及其防范DHCP Server仿冒者攻击攻击原理解决方法:仿冒DHCP报文攻击:攻击原理:解决方法:DHCP Server服务拒绝攻击:攻击原理:解决方法:配置DHCP Snooping的攻击防范功能:DHCP Snooping支持的Option82功能:概述:实现: DHCP SnoopingDHCP监听)简介 DHCP SnoopingDHCP(Dynamic H
DHCPSnooping原理
huaxia520sun的专栏
10-09 1394
DHCP Snooping 开启DHCPSnooping,设置路由端口(信任端口) SW建立一张DHCP监听绑定表(DHCPsnooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息 DHCP Server的
dhcp snooping原理
skyie的专栏
10-22 1万+
总体来说,DHCP Snooping具有以下两方面功能: 保证DHCP客户端从合法的DHCP服务器处获取IP地址。 记录DHCP客户端IP地址与MAC地址的对应关系。 1.保证DHCP客户端从合法的DHCP服务器处获取IP地址 为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口分为"信任端口"(Trusted Port)
DHCP Snooping基本原理
wsasy12345的博客
06-03 6262
DHCP Snooping基本原理 使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。 DHCP Snooping信任功能 DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP(Internet
关于ip dhcp snooping information option的理解和扩充
weixin_34365635的博客
10-30 925
关于dhcp snooping 配置命令的补充说明,查阅了很多资料和实验,以及参考了网上朋友的理解,现对ip dhcp snooping information option提一些我的理解和看法. ip dhcp snooping information option的作用是:设置交换机是否为非信任端口收到的dhcp报文插入Option 82,默认即为开启状态. 正如我上...
DHCP高阶应用系列之《DHCP Snooping + DAI(ARP Detection)杜绝ARP攻击》
weixin_44645270的博客
07-22 2271
本系列第一章中介绍过DHCP Snooping + IPSG限制用户随意修改IP地址信息,既然用户只能使用由DHCP服务器分配的IP地址为什么还需要对ARP进行限制呢?源于IPSG是对IP协议的数据包进行合法性校验,而ARP协议的数据包不在IPSG的处理范围内,ARP协议作为以太网通信里的一个重要协议,决定主机发送的数据能不能被交换机正确转发。DAI可以通过DHCP Snooping生产的IP-MAC表项对进入交换机的ARP数据包进行合法性校验,保证LAN内所有主机及路由器网关等设备ARP缓存信息不被篡改.
9、中小企业网络架构-扩展配置DHCP Snooping+IPSG
友人A的博客
04-27 1658
网络拓扑: 配置思路: 接入层交换机配置DHCP Snooping拒绝非法DHCP设备,IPSG拒绝非法IP 操作步骤 一、DHCP Snooping+IPSG防止恶意DHCPIP冲突 实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。 1、配置DHCP Snooping 1.1、开启全局DHCP Snooping功能 [SW5]dhc...
DHCP Snooping技术防御ARP病毒.pdf
10-22
例如,可以构建一个包含多个主机、一台合法DHCP服务器、一台非法DHCP服务器以及一台支持DHCP Snooping功能的交换机的测试网络。 1. **配置信任端口**:将连接合法DHCP服务器的交换机端口配置为信任端口。 2. **配置...
思科交换机IP-MAC-PORT绑定和DHCP Snooping的应用
net527的专栏
07-05 915
【背景描述】1、什么是ARP?ARP协议是“Address Resolution Protocol”(地址 解析协议)的缩写。在局域网 中,网络中实际传输的是“帧”,帧里面是有目标主 机 的MAC地址 的。 在以太网中,一个主机 要和另一 个 主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发 送帧前将目标IP 地址转换 成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP
非法DHCP server 检测?开玩笑~
qq_28984317的博客
12-27 2707
近期有个项目,负责为某单位建设态势感知平台,项目中除基本态势感知功能外还有3个定制需求,今天就针对其中的一个进行分享~ 需求:检测接入到网络当中的非法DHCP server(这里的DHCP server主要针对无线路由器,当然还可以预防一定的中间人攻击) 为什么要有这样的需求呢? 客户现场某内网终端统一采用DHCP方式获取IP,且网络规模较大,且分散,网络结构为核心层、汇聚层、接入层,因客户现场都为不懂技术的普通员工,私接无线路由器的事时有发生。 据了解DHCP server配置在汇聚交换机上.
DHCP snooping详解
热门推荐
mypanlong的专栏
10-07 1万+
一、机制概述       DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那么就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导致PC无法上网。 snooping详解" title="DHCP snooping详解"
网络协议与攻击模拟-14-DHCP协议-DHCP snooping
YueXuan_521的博客
05-25 276
网络协议与攻击模拟-14-DHCP协议-DHCP snooping
DHCP Snooping实验
weixin_33946605的博客
10-24 495
DHCP Snooping实验配置命令 说明:“ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 int f1/2 expiry 692000”条目中“expiry”参数为4294967295时表示绑定永不过期。 1、单机交换(DHCP服务器和DHCP客户端位于同一VLAN) 环境:Windows2003 DHCP服务器和...
DHCP Snooping功能与实例详解
Jian Sun_的博客
08-07 3452
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他...
开启Cisco交换机DHCP Snooping功能
weixin_34310127的博客
07-16 227
一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题常见的有:·DHCP Server的冒充·DHCP Server的DOS***,如DHCP耗竭***·某些用户随便指定IP地址,造成IP地址冲突1、DHCP Server的冒充由于DHCP服务...
Cisco交换机关于DHCP SNOOPING的配置指令
最新发布
par@ish的博客
10-23 1786
在Cisco交换机上配置DHCP SnoopingDHCP欺骗防护)
DHCP SNOOPING BINDING DATABASE
Jesse的黑洞
08-31 3327
DHCP snooping被启用时,交换机使用DHCP snooping binding database去存储关于非可信接口的信息。数据库可以维持8192个绑定。 每个数据库实体(binding)有一个IP,对应mac地址,释放时间(hexadecimal格式),接口对应哪个绑定应用,接口所属于的Vlan。 数据库agent存储bindings到一个配置好路径的文件中。每个实体结尾处是一个
“配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 4694
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
DHCP 安全-- DHCP Snooping技术应用
IT界的无名小卒
02-15 1710
关于DHCP在之前的文章中也提到过,它是为网络中的终端提供IP地址的服务。DHCP为网络管理员在IP地址分配任务上减轻了很大的压力,而且DHCP服务也简化了对IP地址分发的管理。管理员可以很轻松直观地在DHCP服务器上查看IP地址的使用情况。但是DHCP天生有一个缺陷,就是在DHCP服务器与客户端在IP地址请求和分发的过程中,缺少认证机制。所以网络中如果出现一台非法的DHCP服务器为客户端提供非法的IP地址,那么就黑客就可以做一些中间人攻击的操作,给网络的安全性带来了隐患。为了消除这一隐患,我们可以通过DH
dhcp snooping工作原理
07-11
DHCP Snooping是一种网络安全技术,用于保护局域网中的DHCP服务免受恶意攻击。 其工作原理如下: 1. DHCP Snooping会监听网络中的DHCP消息,包括DHCP Discover、DHCP Offer、DHCP Request和DHCP Ack等消息。 2. 当交换机收到DHCP消息时,它会检查该消息是否来自可信源,即已经通过认证的DHCP服务器。这是通过验证DHCP服务器的MAC地址和IP地址的方式进行的。 3. 如果消息来自可信源,交换机会将该消息转发给请求者。 4. 如果消息来自非可信源,交换机会将其标记为不可信,并阻止该消息进一步传播到其他端口。 5. 交换机还会维护一个绑定表,记录每个端口与MAC地址之间的绑定关系。这样可以确保只有经过认证的DHCP服务器可以为特定的客户端提供IP地址。 通过实施DHCP Snooping,网络管理员可以防止恶意DHCP服务器或用户在网络中进行欺骗、劫持或欺诈活动。它提供了一层额外的安全性,确保只有受信任的DHCP服务器可以为网络中的设备提供有效的IP地址配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值