1.作用
dhcp中間人攻擊:攻擊者在網絡中放置非法的dhcp服務器,並用於提供僞造的地址信息。當該子網的用戶發送dhcp請求時,非法服務器就可以發送僞造的dhcp信息,當用戶主機使用該僞造信息時,就可以截獲用戶的流量。
dhcp泛洪攻擊:非法用戶大量發送dhcp 請求報文,耗盡dhcp server 的IP地址數量,使得正常用戶無法獲取IP地址。
dhcp snooping 用於防範泛洪攻擊和中間人攻擊。
PS:開啓dhcp snooping後,思科和華爲設備都是默認接口處於非信任狀態。
2.配置
2.1 思科
所用拓撲圖如下
1.開啓snooping
SW1(config)#ip dhcp snooping
2.指定信任vlan
SW1(config)#ip dhcp snooping vlan 3,10-20
3.指定信任接口
SW1(config)#interface ethernet 0/0
SW1(config-if)#ip dhcp snooping trust --只有信任接口的dhcp響應報文不會被丟棄
4.限制非信任接口dhcp 速率
SW1(config)#int ether0/1
SW1(config-if)#ip dhcp snooping limit rate 3 ---每秒可接收3個dhcp報文,rate範圍1-2048,減少泛洪
2.2 華爲
1.開啓服務
[SW]dhcp enable
[SW]dhcp snooping enable
2.配置信任接口
[SW]int GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1]dhcp snooping trusted
3.gi0/0/2配置,其他接口配置一樣
[SW]int GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1]dhcp snooping enable ---接口開啓snooping
[SW-GigabitEthernet0/0/2]dhcp snooping check dhcp-rate 3 --限制每秒發送的dhcp報文數量,減緩泛洪攻擊
[SW-GigabitEthernet0/0/1]dhcp snooping check dhcp-giaddr enable ---用於中繼角色檢測