大家好，今天為大家?guī)砹薉HCP Snooping的工作原理，準備好，我們馬上開始！

DHCP Snooping顧名思義是跟DHCP有關的，他是DHCP的一種安全特性，用于保證DHCP客戶端從合法DHCP服務器獲取IP地址，并記錄HDCP客戶端IP地址與MAC地址參數的對應關系，防止網絡上針對DHCP攻擊。

DHCP Snooping有以下兩種功能：

1.信任功能：DHCP Snooping信任功能將接口分為信任接口和非信任接口，這樣能夠保證客戶端從合法的服務器獲取IP地址

2.分析功能：開啟DHCP Snooping功能后，設備能夠通過分析DHCP報文交互的過程，生成DHCP Snooping綁定表，綁定表項包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口以及該接口所屬的VLAN，租約信息。

DHCP Snooping在哪些場景中能夠應用呢？

1.防止DHCP Server仿冒者攻擊

攻擊原理：

由于DHCP Server和DHCP Client之間沒有認證機制，所以當網絡中隨意增加一臺DHCP服務器，他就可以冒充真正的服務器給網絡中的其他設備分配IP地址和其他網絡參數。如果該DHCP服務器分配的IP地址是錯誤的，那就會對網絡造成非常大的影響。

解決方法：

如圖所示，為了防止DHCP Server仿冒者攻擊，可以將設備上接口配置為“Trusted”和“Untrusted”工作模式。將與合法的DHCP服務器的連接用“Trusted”接口，其他接口設置為“Untrusted”接口，當從“Untrusted”接口收到DHCP回應報文將直接丟棄，這樣就可以防止DHCP Server仿冒者的攻擊。

2.DHCP報文防洪攻擊

攻擊原理：

網絡中的某臺攻擊設備，向服務器發(fā)送大量的DHCP Discover報文，導致服務器處理不過來，最后服務器癱瘓。

解決方法：

在使能設備的DHCP Snooping功能時，可同時使能設備對DHCP報文上送DHCP報文處理單元的速率進行檢測的功能。此后，設備將會檢測DHCP報文的上送速率，并僅允許在規(guī)定速率內的報文送至DHCP報文處理單元，而超過規(guī)定速率的報文將會被丟棄。

3.DHCP Server服務拒絕攻擊（餓死）

攻擊原理：

如圖所示，假設interface 1接口下存在大量攻擊者惡意申請的IP地址，那么就會導致DHCP Server中的IP地址快速耗盡而不能為其他合法用戶提供IP地址分配服務。

解決方法：

為了抑制大量的DHCP用戶惡意申請IP地址，在使能設備的DHCP Snooping功能后，可配置設備接口允許接入的最大DHCP用戶數，當接入的用戶數達到該值時，則不再允許任何用戶通過此設備或接口成功申請到IP地址。

最后，對網絡技術感興趣的同學，歡迎免費下載試聽課：https://jinshuju.net/f/l1c6RX