1.作用
dhcp中间人攻击:攻击者在网络中放置非法的dhcp服务器,并用于提供伪造的地址信息。当该子网的用户发送dhcp请求时,非法服务器就可以发送伪造的dhcp信息,当用户主机使用该伪造信息时,就可以截获用户的流量。
dhcp泛洪攻击:非法用户大量发送dhcp 请求报文,耗尽dhcp server 的IP地址数量,使得正常用户无法获取IP地址。
dhcp snooping 用于防范泛洪攻击和中间人攻击。
PS:开启dhcp snooping后,思科和华为设备都是默认接口处于非信任状态。
2.配置
2.1 思科
所用拓扑图如下
1.开启snooping
SW1(config)#ip dhcp snooping
2.指定信任vlan
SW1(config)#ip dhcp snooping vlan 3,10-20
3.指定信任接口
SW1(config)#interface ethernet 0/0
SW1(config-if)#ip dhcp snooping trust --只有信任接口的dhcp响应报文不会被丢弃
4.限制非信任接口dhcp 速率
SW1(config)#int ether0/1
SW1(config-if)#ip dhcp snooping limit rate 3 ---每秒可接收3个dhcp报文,rate范围1-2048,减少泛洪
2.2 华为
1.开启服务
[SW]dhcp enable
[SW]dhcp snooping enable
2.配置信任接口
[SW]int GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1]dhcp snooping trusted
3.gi0/0/2配置,其他接口配置一样
[SW]int GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1]dhcp snooping enable ---接口开启snooping
[SW-GigabitEthernet0/0/2]dhcp snooping check dhcp-rate 3 --限制每秒发送的dhcp报文数量,减缓泛洪攻击
[SW-GigabitEthernet0/0/1]dhcp snooping check dhcp-giaddr enable ---用于中继角色检测