唯云OE
  • 已删除用户
WDDDDD
WDDDDD
发布于 2025-10-14 / 3 阅读
0

dhcp snooping

dhcp snooping

介绍

DHCP Snooping 是部署在二层交换机上的核心 DHCP 安全机制,核心是信任端口过滤 + 动态绑定表,用于防御伪 DHCP 服务器、DHCP 饿死、中间人 / ARP 欺骗等攻击。

一、核心原理:信任端口模型

交换机将端口分为两类,严格控制 DHCP 报文流向:

  • Trusted(信任端口)

    • 连接合法 DHCP 服务器核心交换机 / 路由器

    • 允许转发所有 DHCP 报文(Discover/Offer/Request/ACK)

  • Untrusted(非信任端口)

    • 连接终端 PC、AP、私接路由

    • 只允许客户端请求报文(Discover/Request)

    • 丢弃所有服务器响应报文(Offer/ACK/NAK)

二、核心功能:DHCP Snooping 绑定表

交换机通过监听信任端口的DHCP ACK,自动生成并维护绑定表,记录:

  • MAC 地址、IP 地址、VLAN、端口、租约时间

  • 作用:

    1. 作为IP Source Guard(IPSG)Dynamic ARP Inspection(DAI) 的唯一数据源,实现 IP/MAC/ 端口 / VLAN 的强绑定验证

    2. 防止 IP/MAC 伪造、ARP 欺骗、中间人攻击

三、可防御的主要攻击

  1. 伪 DHCP 服务器攻击:非信任端口丢弃所有 Offer/ACK,彻底隔离私接路由 / 恶意 DHCP

  2. DHCP 饿死攻击:结合端口MAC 地址学习限制,防止伪造大量 MAC 耗尽地址池

  3. 中间人 / ARP 欺骗:绑定表 + DAI/IPSG,校验 ARP/IP 报文合法性

  4. CHADDR 篡改 DoS:检查 DHCP 请求中chaddr与帧头源 MAC 是否一致,不一致则丢弃

配置

一、典型配置(华为 / 华三 / 思科通用逻辑)

1. 全局启用 DHCP Snooping

# 华为/H3C
dhcp enable
dhcp snooping enable
# 思科
ip dhcp snooping

2. 配置信任端口(连接 DHCP 服务器 / 上行)

# 华为/H3C(接口视图)
dhcp snooping trusted
# 思科(接口视图)
ip dhcp snooping trust

3.配置连接终端端口

#华为华三(接口视图)
dhcp snooping enable
#思科接口视图
ip dhcp snooping enable

3. (可选)启用 Option 82(增强定位)

# 华为/H3C
dhcp snooping information enable
# 记录接入端口/VLAN/设备MAC,便于溯源

4. 查看绑定表

# 华为/H3C
display dhcp snooping binding
# 思科
show ip dhcp snooping binding

二、部署最佳实践

  • 接入层交换机:所有下联端口默认Untrusted,仅上行 Trunk 口设为Trusted

  • 汇聚 / 核心层:仅连接 DHCP 服务器的端口设为Trusted

  • 必配DAI+IPSG,形成DHCP Snooping+DAI+IPSG三层安全闭环

Ubuntu22安装Mineru
OpenConnect