DHCP攻防

DHCP服务可以由广播域内任何主机提供，客户端接收第一个响应的服务器提供的IP地址。这种机制给攻击者留下了攻击的手段。

首先，攻击者可以疯狂发送IP地址请求包，将所有IP地址耗尽，其它主机无法获取IP地址。对付这种攻击的方法是使用交换机的port security安全特性。相关命令如下：

switch(config-if)#switchport mode access
switch(config-if)#switchport port-security
switch(config-if)#switchport port-security maximum xx

以上命令限制同一端口接收大量MAC地址，从而防止攻击者伪造主机地址发起DHCP查询。

第二，攻击者首先向DHCP服务器发起DOS攻击，然后取而代之在网络内提供DHCP服务。攻击者通过提供虚假网关及DNS使用户不知不觉中受到欺骗。

第三，内网其它设备有意或无意启动DHCP服务，对正常DHCP服务造成干扰。

对于第二和第三种攻击的防范方法是启用交换机的dhcp snooping安全特性。通过人工干预，强制只允许受信任的端口发送dhcp响应包。相关命令如下：

switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan XX
switch(config-if)#ip dhcp snooping trust
switch(config-if)#ip dhcp snooping rate limit 400

上面的命令中ip dhcp snooping全局启用dhcp snooping功能，ip dhcp snooping vlan xx也是必须要有的命令，因为dhcp snooping是基于vlan的；端口命令ip dhcp snooping trust定义该端口可以接收dhcp响应包（缺省是untrust），ip dhcp snooping limit 400规定该端口的dhcp包不能超过400pps。为什么要设这个限制呢（当然，不一定是400pps）？下面具体解释。

我们知道，大量的dhcp请求会枯竭dhcp地址池，这往往是攻击的征兆。缺省情况下，如果dhcp snooping启用，所有端口都是untrust的。一般情况下，ip dhcp snooping limit 命令用在untrusted端口，防止用户主机发送过量的包。但这个命令也可以用在trust端口下。trust端口允许通过dhcp响应，但并不表示这个端口一定就是接在dhcp服务器上，它也可能接在一台交换机上，这台交换机再接dhcp服务器及其它用户主机，因此它既有可能收到dhcp响应包，也有可能收到dhcp请求包。这说明如果该端口接在一台交换机上，那么这个命令就是必要的。

因此，在做dhcp snooping配置时，要对网络整体结构进行规划，确定哪些端口是trust，哪些是untrust。所有交换机都要启用dhcp snooping。

通过上面的命令，我们可以完成一个基本的dhcp snooping配置。为了简化叙述，帮助理解，多余的及辅助性的命令就不作介绍了。

好资料，非常受益。每天进步一点点

头像亮了

思科的东东呀。

cisco的设备？

不错不错，楼主您辛苦了。。。

学习了，谢谢分享、、、

过来看看的,感谢攻城狮论坛

写的真的很不错

我是个凑数的。。。