2. DHCP窥探保护DHCP服务正常工作DHCP Snooping

    采用DHCP管理的常见问题

    采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有：

• DHCP  server 的冒充。
• DHCP  server的DOS攻击。
• 有些用户随便指定地址，造成网络地址冲突。
• 由于DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。
• 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。

    黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器对应网段的所有地址被占用，此类攻击既可以造成DOS的破坏，也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。

    DHCP服务器欺诈可能是故意的，也可能是无意启动DHCP服务器功能，恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息，以此来实现流量的截取。

    DHCP Snooping技术

    DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色，“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址（一个静态地址或者一个从DHCP服务器上获取的地址）、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型（静态的或者动态的）。如下表所示：

    这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测（DAI）和IP Source Guard使用。

    防范方法

    为了防止这种类型的攻击，Catalyst DHCP侦听（DHCP Snooping）功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCP响应，因此欺诈DHCP响应包被交换机阻断，合法的DHCP服务器端口或上连端口应被设置为信任端口。

    首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP响应应报文，如下图所示：