97国际

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

解决计划

< 返回主菜单

解决计划中心

行业

服务支持

合作伙伴

关于97国际

投资者关系

返回主菜单

选择区域/语言

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

DHCP Snooping怎样事情

DHCP Snooping作为通讯网络二层清静特征，能够显著提升网络清静性能。本文将首先先容DHCP的事情历程，然后通过两种典范DHCP攻击案例来说明DHCP Snooping的基本事情原理以及怎样避免网络攻击。

宣布时间：2022-12-28
点击量：
点赞：

分享至

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

我想谈论

1 什么是DHCP Snooping

DHCP Snooping也叫DHCP窥探，是一种常应用在二层接入装备的DHCP清静协议，它通过监听DHCP报文来阻挡局域网中不正当的DHCP流量，从而避免DHCP攻击，提升网络清静。安排了DHCP Snooping的装备能够实现以下行动：

● 过滤不受信端口的DHCP应答报文；

● 构建和维护DHCP Snooping绑定表，其中包括用户获取到的IP信息以及用户MAC地址、VID、PORT和租约时间等信息；

● 通过与ARP检测功效或ARP Check功效配合使用，可以进一步实现控制用户正当使用IP地址的目的。

2 DHCP Snooping怎样事情

2.1 DHCP事情原理

在先容DHCP Snooping怎样事情之前，先简要说明DHCP的事情机制。

DHCP是一个被普遍应用的、为局域网内主无邪态分派IP地址等主要信息的协议。一次DHCP协议交互可以简朴归纳综合为如下4个办法：

(1) DHCP客户端通过广播DHCP Discover报文来向局域网内的DHCP服务器请求服务。

(2) DHCP服务器凭证自身设置的IP地址池、响应的子网掩码和网关等信息，通过DHCP Offer报文应答客户端。

(3) 若接受DHCP Offer报文中的设置，DHCP客户端则广播DHCP Request报文以通告DHCP服务器和局域网内其他主机其生效的IP地址。

(4) 最后，服务器将会应答DHCP ACK报文给客户端举行最终确认。

如图2-1中，通过DHCP协议交互，客户端从DHCP地址池中租用了IP地址10.0.0.11/24，并得知局域网内网关地址为10.0.0.1。那么，客户端后续的IP数据将发往网关10.0.0.1实现与广域网的通讯。

图2-1 DHCP协议原理示意图

DHCP协议原理示意图

2.2 DHCP Snooping避免服务诱骗攻击

由于DHCP Discover/Request是广播报文，若是局域网中加入了攻击者，那么它便可以获取到网络内每一台主机的DHCP请求信息。通过修改IP地址或者网关等信息伪造DHCP Offer/ACK报文应答主机，来抵达使用户无法上网或者窃取用户信息的目的，这种攻击方法被称为DHCP服务诱骗攻击。如图2-2，攻击者为了截获局域网内用户的流量，将自己外地的IP地址10.0.0.2作为虚伪网关地址，不法应答客户端的DHCP请求。后续，客户端的IP数据包将会发往虚伪网关，造成信息泄露。若是攻击者在截获流量的同时对真实网关和客户端之间的数据举行转发，那么网络内受到攻击的主机将感受不到断网等网络异常，隐藏性极强。

图2-2 DHCP诱骗攻击示意图

97国际·(中国区)集团官方网站

在装备上开启DHCP Snooping功效，把毗连可信服务器的端口设置为Trust口，其余皆为Untrust口，DHCP Snooping能够有用的避免上文所述的DHCP服务诱骗攻击。如图2-3，在Device A上开启DHCP Snooping功效，只有服务器的DHCP Offer/ACK报文能够通过Trust口送达客户端，攻击者装备由于毗连在Untrust口上，其发送的不法DHCP Offer/ACK报文将不允许通过，从而包管客户端能够获得准确的网络设置，阻止了信息泄露。

图2-3 DHCP Snooping避免DHCP诱骗攻击示意图

97国际·(中国区)集团官方网站

2.3 DHCP Snooping避免伪造报文攻击

除了仿冒DHCP服务器，攻击者还能仿冒DHCP客户端对DHCP服务器提倡攻击。如图2-4，攻击者通过不法截获DHCP客户端在局域网内广播的DHCP Discover报文获取其MAC地址，从而仿冒MAC伪造差别的DHCP客户端向DHCP服务器大宗发送不法请求报文，使得DHCP服务器的IP地址池被消耗，甚至抢夺网络内正当客户端的IP地址。一旦服务器的IP地址池被不法请求耗空，网络内的其他正当主机将由于无法通过DHCP获得IP地址而断网。这种攻击方法被称为伪造DHCP报文攻击，也是一种典范的DoS攻击。

图2-4 伪造DHCP报文攻击示意图

97国际·(中国区)集团官方网站

除了过滤Untrust口的不法DHCP应答报文，DHCP Snooping通过进一步维护DHCP绑定表项来避免伪造报文攻击。DHCP绑定表项通过窥探正当DHCP报文来对客户端的MAC地址、IP地址租期、接口号和VLAN信息等建设起关联并且维护，从而对后续DHCP客户端请求报文举行过滤。如图2-5，在Device A上安排DHCP Snooping功效并将与客户端主机相连的接口设置为Untrust口。那么，所有通过Untrust口的DHCP请求报文将会首先举行DHCP绑定表项匹配。由于攻击者伪造的报文与Device A上维护的绑定表无法匹配，伪造报文将会被扬弃，从而有用阻止了这类攻击。

图2-5 DHCP Snooping避免伪造DHCP报文攻击示意图

97国际·(中国区)集团官方网站

3 结语

DHCP Snooping作为DHCP清静特征，除了能通过对Untrust口不法DHCP流量的阻挡以及绑定表的维护来避免DHCP服务诱骗攻击和伪造DHCP报文攻击外，还能通过与ARP协议联动避免ARP入侵。由于DHCP协议应用普遍，为提升网络清静性能，在用户接入层安排支持DHCP Snooping特征的装备是十分须要的。

相关链接
DHCP是什么
 DHCP事情流程

相关标签：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

点赞

<< 入侵检测手艺先容

ACL作用 >>

相关产品

客户谈论

暂无谈论

我要谈论

您的姓名

您的手机号*

您的邮箱

公司名称

您的谈论*

我已仔细阅读并赞成隐私声明

验证码*

提交谈论

更多手艺博文

任何需要，请联系97国际

与售前照料攀谈

填写项目需求表单

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

97国际·(中国区)集团官方网站

文档评价

该资料是否解决了您的问题？

您对目今页面的知足度怎样？

不咋滴

很是好

您知足的缘故原由是（多�。�？

您不知足的缘故原由是（多�。�？

您是否尚有其他问题或建议？

为了快速解决并回复您的问题，您可以留下联系方法

邮箱

手机号

我已赞成并阅读隐私政策

谢谢您的反�。�

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法