dhcp怎么读（dhcp snooping怎么读）



什么是DHCP Snooping？

DHCP Snooping是一种DHCP安全特性，可以过滤不信任的DHCP消息并建立和维护一个DHCP Snooping绑定表。

该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口信息。DHCP Snooping的作用就如同在DHCP Client和DHCP Server之间建立一道防火墙。

DHCP Snooping主要是解决网络中应用DHCP时设备遇到DHCP DoS攻击、DHCP Server仿冒者攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。

为此，设备已经实现了MAC地址限制，DHCP Snooping安全绑定、IP + MAC绑定、OPTION82特性等安全性方面的功能，为设备在网络中应用DHCP功能提供更高的安全性。

DHCP Snooping既可以应用在设备的二层接口上，又可应用在设备三层接口上，分别如图所示。

根据不同的攻击类型，DHCP Snooping提供不同的工作模式，见表。

原理描述

DHCP Server仿冒者攻击

由于DHCP请求报文以广播形式发送，所以DHCP Server仿冒者可以侦听到此报文。DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误的网关地址、错误的DNS服务器、错误的IP等，达到DoS（Deny of Service）的目的。

为防止DHCP Server仿冒者攻击，可使用DHCP Snooping的“信任（Trusted）/不信任（Untrusted）”工作模式。

凡是从“不信任（Untrusted）”接口上收到的DHCP Reply（Offer、ACK、NAK）报文直接丢弃，这样可以隔离DHCP Server仿冒者攻击。

中间人攻击

首先，中间人向客户端发送带有自己的MAC地址和服务器IP地址的报文，让客户端学到中间人的IP和MAC，达到仿冒DHCP Server的目的。

达到目的后，客户端发到DHCP服务器的报文都会经过中间人；

然后，中间人向服务器发送带有自己MAC和客户端IP的报文，让服务器学到中间人的IP和MAC，达到仿冒客户端的目的。

中间人完成服务器和客户端的数据交换。

在服务器看来，所有的报文都是来自或者发往客户端；在客户端看来，所有的报文也都是来自或者发往服务器端。但实际上这些报文都是经过了中间人的“二手”信息。

IP/MAC Spoofing攻击

攻击者向服务器发送带有合法用户IP和MAC的报文，令服务器误以为已经学到这个合法用户的IP和MAC，但真正的合法用户不能从服务器获得服务。

为隔离中间人攻击与IP/MAC Spoofing攻击，可使用DHCP Snooping绑定表工作模式。

当接口接收到ARP或者IP报文，使用ARP或者IP报文中的“源IP+源MAC”匹配DHCP Snooping绑定表。如果匹配就进行转发，如果不匹配就丢弃。

对于配置静态IP的用户，由于没有通过DHCP请求而获得IP，所以，没有对应的DHCP Snooping绑定表项，该用户发出的ARP、IP报文会被丢弃，从而防止该用户非法使用网络。

只能通过配置静态DHCP Snooping绑定表来允许静态IP用户访问网络。

对于盗用其他合法用户IP地址的用户，由于同样不是自己通过DHCP请求而获得IP的，IP对应的DHCP Snooping绑定表项中的MAC以及接口与盗用者的不一致，盗用者发出的ARP、IP报文会被丢弃，从而防止该盗用者非法使用网络。

版权声明：

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符，请将相关资料发送至xkadmin@xkablog.com进行投诉反馈，一经查实，立即处理！

转载请注明出处，原文链接：https://www.xkablog.com/cjjbc/38745.html