DHCP服務(wù)已是網(wǎng)絡(luò)中必不可少的服務(wù)之一摹芙。隨著DHCP服務(wù)的部署，一些安全問(wèn)題也逐漸暴露出一些問(wèn)題：

• DHCP報(bào)文泛紅攻擊
• 仿冒DHCP報(bào)文攻擊
• DHCP仿冒者攻擊
• DHCP server拒絕服務(wù)攻擊
• 仿冒DHCP服務(wù)器攻擊

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一種安全特性交胚，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系杯活，防止網(wǎng)絡(luò)上針對(duì)DHCP攻擊轩猩。

這里要注意的是：DHCP snooping 只是會(huì)動(dòng)態(tài)的生成綁定表荡澎，需要結(jié)合其它功能和特性來(lái)實(shí)現(xiàn)安全防護(hù)。

1.DHCP報(bào)文泛紅攻擊：

在DHCP網(wǎng)絡(luò)環(huán)境中彤委，若存在DHCP用戶短時(shí)間內(nèi)向設(shè)備發(fā)送大量的DHCP報(bào)文或衡，將會(huì)對(duì)設(shè)備的性能造成巨大的沖擊以致可能會(huì)導(dǎo)致設(shè)備無(wú)法正常工作封断。通過(guò)使能對(duì)DHCP報(bào)文上送DHCP報(bào)文處理單元的速率進(jìn)行檢測(cè)功能將能夠有效防止DHCP報(bào)文泛洪攻擊。

解決辦法：
配置限制DHCP報(bào)文的上送速率彬呻，可在系統(tǒng)視圖柄瑰、VLAN視圖或接口視圖下執(zhí)行教沾。

執(zhí)行命令dhcp snooping check dhcp-rate enable，使能對(duì)DHCP報(bào)文上送DHCP報(bào)文處理單元的速率進(jìn)行檢測(cè)功能或悲。
缺省情況下堪唐，未使能對(duì)DHCP報(bào)文上送DHCP報(bào)文處理單元的速率進(jìn)行檢測(cè)功能羔杨。

執(zhí)行命令dhcp snooping check dhcp-rate rate，配置DHCP報(bào)文上送DHCP報(bào)文處理單元的最大允許速率理澎。
缺省情況下，全局DHCP報(bào)文上送DHCP報(bào)文處理單元的最大允許速率為100pps寇荧，接口下DHCP報(bào)文上送DHCP報(bào)文處理單元的最大允許速率為在系統(tǒng)視圖下配置的值揩抡。

2.仿冒DHCP報(bào)文攻擊：

在DHCP網(wǎng)絡(luò)環(huán)境中镀琉，若攻擊者仿冒合法用戶的DHCP Request報(bào)文發(fā)往DHCP Server，將會(huì)導(dǎo)致用戶的IP地址租約到期之后不能夠及時(shí)釋放屋摔，以致合法用戶無(wú)法使用該IP地址钓试；若攻擊者仿冒合法用戶的DHCP Release報(bào)文發(fā)往DHCP Server，將會(huì)導(dǎo)致用戶異常下線恋谭。
在生成DHCP Snooping綁定表后挽鞠，設(shè)備可根據(jù)綁定表項(xiàng)滞谢，對(duì)DHCP Request報(bào)文或DHCP Release報(bào)文進(jìn)行匹配檢查除抛，只有匹配成功的報(bào)文設(shè)備才將其轉(zhuǎn)發(fā)到忽，否則將丟棄。這將能有效的防止非法用戶通過(guò)發(fā)送偽造DHCP Request或DHCP Release報(bào)文冒充合法用戶續(xù)租或釋放IP地址护蝶。

解決辦法：
使能對(duì)DHCP報(bào)文進(jìn)行綁定表匹配檢查的功能翩迈，可在系統(tǒng)視圖负饲、VLAN視圖或接口視圖下進(jìn)行配置喂链。

執(zhí)行命令dhcp snooping check dhcp-request enable vlan { vlan-id1 [ to vlan-id2 ] }&<1-10>椭微，使能對(duì)從指定VLAN內(nèi)上送的DHCP報(bào)文進(jìn)行綁定表匹配檢查的功能盲链。
缺省情況下刽沾，未使能對(duì)DHCP報(bào)文進(jìn)行綁定表匹配檢查的功能。

在VLAN或者接口視圖下：
執(zhí)行命令dhcp snooping check dhcp-request enable间狂，使能對(duì)DHCP報(bào)文進(jìn)行綁定表匹配檢查的功能鉴象。
缺省情況下何鸡，未使能對(duì)DHCP報(bào)文進(jìn)行綁定表匹配檢查的功能。

3. DHCP仿冒者攻擊：

此功能需要結(jié)合IPSG來(lái)實(shí)現(xiàn)：

隨著網(wǎng)絡(luò)規(guī)模越來(lái)越大淆游，通過(guò)偽造源IP地址實(shí)施的網(wǎng)絡(luò)攻擊（簡(jiǎn)稱IP地址欺騙攻擊）也逐漸增多犹菱。一些攻擊者通過(guò)偽造合法用戶的IP地址獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限吮炕，非法訪問(wèn)網(wǎng)絡(luò)龙亲，甚至造成合法用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)，或者信息泄露杜耙。IPSG針對(duì)IP地址欺騙攻擊提供了一種防御機(jī)制拂盯，可以有效阻止此類(lèi)網(wǎng)絡(luò)攻擊行為。
一個(gè)典型的利用IPSG防攻擊的示例如圖1所示簸呈，非法主機(jī)偽造合法主機(jī)的IP地址獲取上網(wǎng)權(quán)限店茶。此時(shí)蜕便，通過(guò)在Switch的接入用戶側(cè)的接口或VLAN上部署IPSG功能，Switch可以對(duì)進(jìn)入接口的IP報(bào)文進(jìn)行檢查贩幻，丟棄非法主機(jī)的報(bào)文轿腺，從而阻止此類(lèi)攻擊。

IPSG利用綁定表（源IP地址丛楚、源MAC地址族壳、所屬VLAN、入接口的綁定關(guān)系）去匹配檢查二層接口上收到的IP報(bào)文趣些，只有匹配綁定表的報(bào)文才允許通過(guò)仿荆，其他報(bào)文將被丟棄坏平。

綁定表生成后拢操，IPSG基于綁定表向指定的接口或者指定的VLAN下發(fā)ACL，由該ACL來(lái)匹配檢查所有IP報(bào)文舶替。主機(jī)發(fā)送的報(bào)文令境，只有匹配綁定表才會(huì)允許通過(guò)，不匹配綁定表的報(bào)文都將被丟棄顾瞪。當(dāng)綁定表信息變化時(shí)舔庶，設(shè)備會(huì)重新下發(fā)ACL。缺省情況下陈醒，如果在沒(méi)有綁定表的情況下使能了IPSG惕橙，設(shè)備會(huì)允許IP協(xié)議報(bào)文通過(guò)，但是會(huì)拒絕所有的數(shù)據(jù)報(bào)文钉跷。

IPSG只匹配檢查主機(jī)發(fā)送的IP報(bào)文弥鹦，對(duì)于ARP、PPPoE等非IP報(bào)文尘应，IPSG不做匹配檢查惶凝。

IPSG實(shí)現(xiàn)原理圖

4.DHCP server拒絕服務(wù)攻擊

若在網(wǎng)絡(luò)中存在DHCP用戶惡意申請(qǐng)IP地址吼虎，將會(huì)導(dǎo)致IP地址池中的IP地址快速耗盡以致DHCP Server無(wú)法為其他合法用戶分配IP地址犬钢。另一方面，DHCP Server通常僅根據(jù)CHADDR（client hardware address）字段來(lái)確認(rèn)客戶端的MAC地址思灰。如果攻擊者通過(guò)不斷改變DHCP Request報(bào)文中的CHADDR字段向DHCP Server申請(qǐng)IP地址玷犹，將會(huì)導(dǎo)致DHCP Server上的地址池被耗盡，從而無(wú)法為其他正常用戶提供IP地址洒疚。
為了防止某些端口的DHCP用戶惡意申請(qǐng)IP地址歹颓，可配置接口允許學(xué)習(xí)的DHCP Snooping綁定表項(xiàng)的最大個(gè)數(shù)來(lái)控制上線用戶的個(gè)數(shù)坯屿，當(dāng)用戶數(shù)達(dá)到該值時(shí)，則任何用戶將無(wú)法通過(guò)此接口成功申請(qǐng)到IP地址巍扛。為了防止攻擊者不斷改變DHCP Request報(bào)文中的CHADDR字段進(jìn)行攻擊领跛，可使能檢測(cè)DHCP Request報(bào)文幀頭MAC地址與DHCP數(shù)據(jù)區(qū)中CHADDR字段是否相同的功能，相同則轉(zhuǎn)發(fā)報(bào)文撤奸，否則丟棄吠昭。

解決辦法：
配置接口允許學(xué)習(xí)的DHCP Snooping綁定表項(xiàng)的最大個(gè)數(shù)，可在系統(tǒng)視圖胧瓜、VLAN視圖或接口視圖下配置矢棚。

執(zhí)行命令dhcp snooping max-user-number max-number vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>，配置設(shè)備允許學(xué)習(xí)的DHCP Snooping綁定表項(xiàng)的最大個(gè)數(shù)府喳。
執(zhí)行該命令后蒲肋，設(shè)備所有的接口允許學(xué)習(xí)的DHCP Snooping綁定表項(xiàng)之和為該命令所配置的值。

在VLAN或者接口視圖下：
執(zhí)行命令dhcp snooping max-user-number max-number钝满，配置接口允許學(xué)習(xí)的DHCP Snooping綁定表項(xiàng)的最大個(gè)數(shù)兜粘。
若在VLAN視圖下執(zhí)行該命令，則VLAN內(nèi)所有的接口接入的用戶最大數(shù)為該命令所配置的值弯蚜。

5.仿冒DHCP服務(wù)器攻擊

此功能需要配置DHCP 信任功能來(lái)實(shí)現(xiàn)：

配置接口信任狀態(tài)

背景信息

如圖所示場(chǎng)景中妹沙，為使DHCP客戶端能通過(guò)合法的DHCP服務(wù)器獲取IP地址，需將與管理員信任的DHCP服務(wù)器直接或間接連接的設(shè)備接口設(shè)置為信任接口（如圖中的if0）熟吏，其他接口設(shè)置為非信任接口（如圖中的if2）距糖。從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的DHCP Server仿冒者無(wú)法為DHCP客戶端分配IP地址牵寺。
在連接用戶的接口或VLAN下使能DHCP Snooping功能之后悍引，需將連接DHCP服務(wù)器的接口配置為“信任”模式，兩者同時(shí)生效設(shè)備即能夠生成DHCP Snooping動(dòng)態(tài)綁定表帽氓。

解決辦法：
請(qǐng)?jiān)诙泳W(wǎng)絡(luò)中的接入設(shè)備上執(zhí)行以下步驟趣斤。
配置接口為“信任”狀態(tài)，可在接口視圖或VLAN視圖下執(zhí)行黎休。
接口視圖下：
執(zhí)行命令interface interface-type interface-number浓领，進(jìn)入接口視圖。
執(zhí)行命令dhcp snooping trusted势腮，配置接口為“信任”接口联贩。
缺省情況下，接口的狀態(tài)為“非信任”狀態(tài)捎拯。
VLAN視圖下：
執(zhí)行命令vlan vlan-id泪幌，進(jìn)入VLAN視圖。
執(zhí)行命令dhcp snooping trusted interface interface-type interface-number ，配置接口為“信任”接口祸泪。
缺省情況下吗浩，接口的狀態(tài)為“非信任”狀態(tài)。
在VLAN視圖下執(zhí)行此命令没隘，則命令功能僅對(duì)加入該VLAN的接口收到的屬于此VLAN的DHCP報(bào)文生效懂扼；在接口下執(zhí)行該命令，則命令功能對(duì)該接口接收到的所有DHCP報(bào)文生效右蒲。