DHCP Snooping

前提条件：动态主机配置协议（DHCP）。我们在计算机网络课程中学习的每一种协议都都有一些规则，这些规则决定了协议的运作方式。不过，这些规则有时也会让攻击者有机会利用网络来实施攻击。攻击者还可以利用DHCP的运作机制来破坏我们的网络。在本文中，我们将了解如何破坏我们的网络，以及如何防止这种情况发生。基于DHCP的攻击方式：请考虑以下场景。攻击者将自己的笔记本电脑连接到网络，并充当虚拟的DHCP服务器。众所周知，在DHCP通信中，客户端和服务器之间会交换DORA消息，而这些消息是通过广播地址来发送的。攻击者监听这些广播信号，然后为自己分配一个地址、掩码以及默认路由器。此时，客户端的所有数据都会被转发给攻击者。这样，就形成了中间人攻击，从而破坏了系统的完整性。图/图片 –基于DHCP的攻击
DHCP监听：DHCP snooping是在将终端设备连接到交换机时所使用的技术，其目的是防止基于DHCP的攻击。实际上，DHCP snooping将交换机的接口分为两部分来实施。

1. 可信端口 –所有用于连接由管理系统控制的设备（如交换机、路由器、服务器等）的端口，都被认定为可信端口。
2. 不可信的端口 –所有连接终端设备的端口，比如电脑、笔记本电脑、接入点等，都被视为不可信的端口。

我们知道，DHCP地址的分配是在DHCP客户端和服务器之间交换DORA消息之后完成的。客户端会发送两个消息：Discover和Request；而服务器则发送两个消息：Offer和Acknowledgment。利用这些信息，DHCP snooping机制就可以正常工作了。

• 如果可信的端口接收到“报价”和“确认”消息，那么无需采取任何行动，让这些消息直接通过即可。
• 如果不可信的端口接收到Offer和Acknowledgment消息，那么这些消息将被阻止，因为它们来自DHCP服务器。不可信的端口指的是那些应该与DHCP服务器连接的端口。

图/图片 –可信端口与不可信端口
DHCP不可信端口的逻辑其实有点令人困惑。 所有真实用户都连接到不可信的端口上。 网络管理员无法区分哪些用户是合法用户，哪些才是攻击者。 DHCP snooping功能会在DHCP绑定表中记录每个用户所租用的地址信息。 该表格记录了与接口、VLAN以及MAC地址相关的信息，同时还记录了这些地址所对应的IP地址。 这可以解决局域网中的身份盗窃问题。 DHCP snooping还可以被配置为限制到达某个接口的请求数量。 这有助于防止那些会占用整个地址空间或使DHCP服务器过载的DOS攻击。图 –DHCP绑定表