嗨，大家好，小老虎今天為大家帶來了DHCP Snooping的工作原理，小本本準備好，我們要開始啦！

DHCP Snooping顧名思義是跟DHCP有關的，他是DHCP的一種安全特性，用于保證DHCP客戶端從合法DHCP服務器獲取IP地址，并記錄HDCP客戶端IP地址與MAC地址參數的對應關系，防止網絡上針對DHCP攻擊。

DHCP Snooping有以下兩種功能：

1.信任功能：DHCP Snooping信任功能将接口分為信任接口和非信任接口，這樣能夠保證客戶端從合法的服務器獲取IP地址

2.分析功能：開啟DHCP Snooping功能後，設備能夠通過分析DHCP報文交互的過程，生成DHCP Snooping綁定表，綁定表項包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口以及該接口所屬的VLAN，租約信息。

DHCP Snooping在哪些場景中能夠應用呢？

1.防止DHCP Server仿冒者攻擊

攻擊原理：

由于DHCP Server和DHCP Client之間沒有認證機制，所以當網絡中随意增加一台DHCP服務器，他就可以冒充真正的服務器給網絡中的其他設備分配IP地址和其他網絡參數。如果該DHCP服務器分配的IP地址是錯誤的，那就會對網絡造成非常大的影響。

解決方法：

如圖所示，為了防止DHCP Server仿冒者攻擊，可以将設備上接口配置為“Trusted”和“Untrusted”工作模式。将與合法的DHCP服務器的連接用“Trusted”接口，其他接口設置為“Untrusted”接口，當從“Untrusted”接口收到DHCP回應報文将直接丢棄，這樣就可以防止DHCP Server仿冒者的攻擊。

2.DHCP報文防洪攻擊

攻擊原理：

網絡中的某台攻擊設備，向服務器發送大量的DHCP Discover報文，導緻服務器處理不過來，最後服務器癱瘓。

解決方法：

在使能設備的DHCP Snooping功能時，可同時使能設備對DHCP報文上送DHCP報文處理單元的速率進行檢測的功能。此後，設備将會檢測DHCP報文的上送速率，并僅允許在規定速率内的報文送至DHCP報文處理單元，而超過規定速率的報文将會被丢棄。

3.DHCP Server服務拒絕攻擊（餓死）

攻擊原理：

如圖所示，假設interface 1接口下存在大量攻擊者惡意申請的IP地址，那麼就會導緻DHCP Server中的IP地址快速耗盡而不能為其他合法用戶提供IP地址分配服務。

解決方法：

為了抑制大量的DHCP用戶惡意申請IP地址，在使能設備的DHCP Snooping功能後，可配置設備接口允許接入的最大DHCP用戶數，當接入的用戶數達到該值時，則不再允許任何用戶通過此設備或接口成功申請到IP地址。

看完我們小老虎的DHCP Snooping的工作原理，你學會了沒？評論點贊來一波，讓小老虎看到大家都有在努力學習！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!