DHCP Snooping

最新推荐文章于 2024-03-26 11:44:04 发布
最新推荐文章于 2024-03-26 11:44:04 发布
阅读量1.1k 收藏 1
点赞数 1
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiazhui1/article/details/134556305
版权

一、DHCP Snooping简介

1.定义

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

2.目的

  • 目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
  • 为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。

3.受益

  • 设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。
  • 为用户提供更安全的网络环境,更稳定的网络服务。

二、DHCP Snooping的基本原理

DHCP Snooping能够实现如下基本功能:

1.信任功能

DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP(Internet Protocol)地址。

网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。

DHCP Snooping信任功能将接口分为信任接口和非信任接口:

  • 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
  • 非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。

注:管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

2.分析功能

  • 开启DHCP Snooping功能后,设备能够通过分析DHCP的报文交互过程,生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN(Virtual Local Area Network)等信息。
  • DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
  • 出于安全性的考虑,管理员需要记录用户上网时所用的IP地址,确认用户申请的IP地址和用户使用的主机的MAC地址的对应关系。在设备通过DHCP Snooping功能生成绑定表后,管理员可以方便的记录DHCP用户申请的IP地址与所用主机的MAC地址之间的对应关系。
  • 由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。
  • 为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。

三、实例

实验概述:

  • LSW2与LSW3为接入设备,LSW1为DHCP Relay。PC1与R1分别通过Eth0/0/1与Eth0/0/2接入LSW2,PC3通过Eth0/0/1接入LSW3,其中PC1与PC3通过DHCP方式获取IP地址,而R2使用静态配置的IP地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务

实验拓扑:

1.1配置IP,将接口加入VLAN
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 10.13.13.254 24
[SW1-Vlanif10]quit
[SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 172.16.1.254 24
[SW1-Vlanif100]quit
[SW1]interface GigabitEthernet 0/0/1	
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default  vlan 10
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 100
[SW1-GigabitEthernet0/0/3]quit

[DHCP server]interface GigabitEthernet 0/0/1
[DHCP server-GigabitEthernet0/0/1]ip address 172.16.1.1 24
[DHCP server-GigabitEthernet0/0/1]quit
1.2配置DHCP
[SW1]dhcp enable       ----启用DHCP功能
Info: The operation may take a few seconds. Please wait for a moment.done.
[SW1]interface Vlanif 10
[SW1-Vlanif10]dhcp select relay     ----DHCP代理
[SW1-Vlanif10]dhcp relay server-ip 172.16.1.1     ----代理IP(DHCP Server)
[SW1-Vlanif10]quit


[DHCP server]dhcp enable 
[DHCP server]ip pool vlan10    ----创建DHCP地址池(名字自定义)
Info:It's successful to create an IP address pool.
[DHCP server-ip-pool-vlan10]network 10.13.13.0 mask 255.255.255.0  ----指定网段
[DHCP server-ip-pool-vlan10]gateway-list 10.13.13.254     ----指定网关
[DHCP server-ip-pool-vlan10]dns-list 1.1.1.1      ----指定DNS
[DHCP server-ip-pool-vlan10]quit
[DHCP server]interface GigabitEthernet0/0/1
[DHCP server-GigabitEthernet0/0/1]dhcp select global 
[DHCP server-GigabitEthernet0/0/1]quit
[DHCP server]ip route-static 0.0.0.0 0.0.0.0 172.16.1.254
1.3配置完DHCP在PC3上面可以看到已经获取IP

1.4接下来配置R1,R1作为非法用户
[R1]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.
[R1]ip pool abc
Info:It's successful to create an IP address pool.
[R1-ip-pool-abc]network 192.168.10.0 mask 255.255.255.0
[R1-ip-pool-abc]gateway-list 192.168.10.254
[R1-ip-pool-abc]dns-list 8.8.8.8
[R1-ip-pool-abc]quit
[R1]interface Ethernet0/0/1
[R1-Ethernet0/0/1]ip address 192.168.10.254 24
[R1-Ethernet0/0/1]dhcp select global 
[R1-Ethernet0/0/1]quit
1.5用PC1去获取IP,可以发现获取的IP是R1非法用户的IP

1.6解决方法,在接入层交换机LSW2启用DHCP Snooping功能
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]undo port default vlan    ----删除之前的接口VLAN
[SW1-GigabitEthernet0/0/1]port link-type trunk     ----配置为trunk模式
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1]quit

[SW2]vlan 10
[SW2-vlan10]quit
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all 
[SW2-GigabitEthernet0/0/1]quit
[SW2]interface Ethernet0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 10
[SW2-Ethernet0/0/2]quit
[SW2]interface Ethernet 0/0/1	
[SW2-Ethernet0/0/1]port link-type access
[SW2-Ethernet0/0/1]port default vlan 10
[SW2-Ethernet0/0/1]quit
[SW2]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.	
[SW2]dhcp snooping enable ipv4
[SW2]interface Ethernet0/0/1
[SW2-Ethernet0/0/1]dhcp snooping enable    ----启用snooping功能
[SW2-Ethernet0/0/1]quit
[SW2]interface Ethernet0/0/2
[SW2-Ethernet0/0/2]dhcp snooping enable 
[SW2-Ethernet0/0/2]quit
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]dhcp snooping trusted    ----配置信任接口
1.7可以看到PC1获取到了DHCP server的IP

IT-灰灰
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
华为DHCP Snooping原理及其实验配置
爱学习的JackYang的博客
07-30 1万+
DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表(untrust)。 DHCPSnooping通过对这个绑定表的维护,建立一道在DHCPClient和DHCPServer之间的防火墙 DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
dhcp snooping.doc
05-24
"DHCP Snooping 技术要点" DHCP Snooping 是一种 DHCP 安全特性,主要用于防止 DHCP 服务器的冒充、DHCP 服务器的 DOS 攻击、客户端随意指定 IP 地址等问题。本文将详细介绍 DHCP Snooping 的技术要点和常见问题。 ...
网工必备实验笔记:dhcp-snooping
2301_76170756的博客
12-25 965
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP 服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP snoopingDHCP安全及威胁防范
最新发布
Noel_Xie的博客
03-26 1189
SW1-GigabitEthernet0/0/1]dhcp snooping sticky-mac,//开启设备基于DHCP snooping表项粘滞功能的MAC地址表学习机制,默认关闭MAC地址表学习功能,且报文不予转发。[SW1-GigabitEthernet0/0/1]dhcp snooping check dhcp-request enable //开启DHCP请求消息与绑定表匹配查询。如何判断发生了饿死攻击:可以通过检查DHCP服务器地址池分配是否存在异常来判断是否发生了饿死攻击!
DHCP Snooping原理和配置
热门推荐
qq_50929489的博客
09-21 1万+
DHCP Snooping原理和配置
DHCP Snooping简介
m0_73258133的博客
11-22 586
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCPDHCP Snooping的基本概念与配置
weixin_72194028的博客
12-13 1285
DHCPDHCP Snooping的基本概念与配置
DHCP Snooping理论与配置
m0_49864110的博客
03-06 4076
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定DHCP Snooping IP源防攻击技术(IPSG)动态ARP检测技术(DAI)
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在...
DHCP Snooping 技术白皮书
04-29
DHCP Snooping 技术白皮书
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping功能的详细分析
华为路由器DHCP配置实例
07-01
华为路由器DHCP配置实例,主要是DHCP的配置例子简单明了。
配置DHCP Snooping功能
06-19
配置DHCP Snooping功能
DHCP snooping.rar
01-22
ensp模拟器使用DHCP Snooping进行防御
DHCP DHCP Snooping
weixin_55932038的博客
05-08 1009
因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露。-DHCP SnoopingDHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
DHCP Snooping功能与实例详解
Jian Sun_的博客
08-07 2846
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他...
锐捷交换机——DHCP Snooping
君逍遥o
10-09 1697
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了防止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
DHCP的防御机制——DHCP Snooping(DHCP监听)
qq_40741808的博客
05-18 5802
这里写目录标题DHCP SnoopingDHCP监听)简介好处DHCP Snooping原理描述信任端口功能DHCP监听表DHCP 攻击及其防范DHCP Server仿冒者攻击攻击原理解决方法:仿冒DHCP报文攻击:攻击原理:解决方法:DHCP Server服务拒绝攻击:攻击原理:解决方法:配置DHCP Snooping的攻击防范功能:DHCP Snooping支持的Option82功能:概述:实现: DHCP SnoopingDHCP监听)简介 DHCP SnoopingDHCP(Dynamic H
dhcp snooping
12-09
DHCP Snooping是一种网络安全功能,用于防止未经授权的DHCP服务器网络中的客户端分配IP地址。DHCP Snooping通过在网络上的交换机上构建DHCP绑定表来实现此目的。DHCP Snooping功能的启用需要两个步骤:全局启用和接口或VLAN启用。以下是DHCP Snooping的配置示例: 1. 全局启用DHCP Snooping功能 ```shell dhcp snooping enable ``` 2. 在接口上启用DHCP Snooping功能 ```shell interface GigabitEthernet0/0/0 dhcp snooping enable ``` 注意:在启用DHCP Snooping功能之前,需要先启用DHCP功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值