DHCPSnooping原理

DHCP Snooping

开启DHCPSnooping，设置路由端口（信任端口）

SW建立一张DHCP监听绑定表（DHCPsnooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息

DHCP Server的冒充

由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

 

DHCP耗竭攻击

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击，

所以并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。

客户端随意指定IP地址

客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。

使用IPSG:IP 源防护（IP SourceGuard，简称 IPSG）是一种基于 IP/MAC 的端口流量过滤技术，它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持，而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

交换机内部有一个 IP 源绑定表（IPSource Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：

1：所接收到的 IP 包满足 IP 源绑定表中 Port/IP/MAC 的对应关系

2：所接收到的是 DHCP 数据包，其余数据包将被交换机做丢弃处理。 

IP 源绑定表可以由用户在交换机上静态添加，或者由交换机从 DHCP 监听绑定表（DHCP Snooping Binding Table）自动学习获得。静态配置是一种简单而固定的方式，但灵活性很差，因此 Cisco 建议用户最好结合 DHCP Snooping 技术使用 IP Source Guard，由 DHCP 监听绑定表生成 IP 源绑定表。

 

DHCP snooping Binding拓展用途

DAI技术。

Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI 以 DHCPSnooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

在配置 DAI技术的接口上，用户端不能采用指定地址地址将接入网络。

由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。