DHCP Snooping是一種DHCP安全特性,通過MAC地址限制,DHCP Snooping安全綁定、IP + MAC綁定、Option82特性等功能過濾不信任的DHCP消息,解決了設備應用DHCP時遇到DHCP DoS***、DHCP Server仿冒***、ARP中間人***及IP/MAC Spoofing***的問題。DHCP Snooping的作用就如同在Client和DHCP Server之間建立的一道防火牆。
DHCP Snooping技術可以防止以下五方面的DHCP***:
1、防止DHCP Server仿冒者***
當網絡中存在DHCP Server仿冒者時,DHCP Server仿冒者回應給DHCP Client仿冒信息,如錯誤的網關地址、錯誤的DNS服務器、錯誤的IP等,從而使Client無法訪問網絡。
爲了避免受到DHCP Server仿冒者的***,可以在設備上配置DHCP Snooping功能,把用戶側的接口配置爲Untrusted模式,把運營商網絡側的接口配置爲Trusted模式,凡是從Untrusted接口收到的DHCP Relay報文全部丟棄。
2、防止中間人與IP/MAC Spoofing ***DHCP Server
當網絡中存在中間人或者IP/MAC Spoofing***時,***者仿冒Server和Client,在服務器看來,所有的報文都是來自或者發往客戶端;在客戶端看來,所有的報文也都是來自或者發往服務器端。但實際上這些報文都是經過了中間人的“二手”信息。這樣仿冒者就可以獲得Server和Client的數據。
爲了避免受到中間人與IP/MAC Spoofing***,可以在設備上配置DHCP Snooping功能,使用DHCP Snooping綁定功能,只有接收到的報文的信息和綁定表中的內容一致纔會被轉發,否則報文將被丟棄。
3、防止***者通過改變CHADDR值***DHCP Server
當網絡中存在DHCP餓死***時,***者改變的不是數據幀頭部的源MAC,而是改變DHCP報文中的CHADDR(Client Hardware Address)值來不斷申請IP地址。如果路由器僅根據數據幀頭部的源MAC來判斷該報文是否合法,那麼“MAC地址限制”方案不能完全起作用,這樣的***報文還是可以被正常轉發。
爲了避免受到***者改變CHADDR值的***,可以在設備上配置DHCP Snooping功能,檢查DHCP Request報文中CHADDR字段。如果該字段跟數據幀頭部的源MAC相匹配,便轉發報文;否則,丟棄報文。
4、防止***者仿冒DHCP續租報文***DHCP Server
當網絡中存在***者時,***者通過不斷髮送DHCP Request報文來冒充用戶續租IP地址,這樣一方面會導致一些到期的IP地址無法正常回收,另外也不是用戶的真實意圖。
爲了避免受到***者仿冒DHCP續租報文進行***,可以在設備上配置DHCP Snooping功能,檢查DHCP Request報文和使用DHCP Snooping綁定功能,只有接收到的報文的信息和綁定表中的內容一致纔會被認爲是正常的申請報文,報文被轉發,否則報文將被丟棄。
5、防止***者發送大量的DHCP Request報文***DHCP Server
當網絡中的***者通過不斷地發送DHCP Request報文來申請IP地址,這樣一方面會導致設備的DHCP表項變得很大,另外對設備的協議棧造成影響。
爲了避免受到***者發送大量DHCP Request報文進行***,可以在設備上配置DHCP Snooping功能,檢查DHCP Request報文和限制報文的上送速率,在一定的時間內只允許規定數目的報文上送協議棧,多餘的報文將被丟棄。
