GA黄金甲

GA黄金甲·(中国集团)官方网站

中文

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

登录

GA黄金甲·(中国集团)官方网站

产品

< 返回主菜单

产品

解决规划

< 返回主菜单

解决规划中心

行业

服务支持

合作同伴

关于GA黄金甲

投资者关系

返回主菜单

选择区域/说话

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

DHCP Snooping若何工作

DHCP Snooping作为通讯网络二层安全个性，可能显著提升网络安全机能。本文将首先介绍DHCP的工作过程，而后通过两种典型DHCP攻击案例来注明DHCP Snooping的根基工作道理以及若何预防网络攻击。

颁布功夫：2022-12-28
点击量：
点赞：

分享至

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

我想评论

1 什么是DHCP Snooping

DHCP Snooping也叫DHCP窥探，是一种常利用在二层接入设备的DHCP安全和谈，它通过监听DHCP报文来拦截局域网中不合法的DHCP流量，从而预防DHCP攻击，提升网络安全。部署了DHCP Snooping的设备可能实现以下作为：

● 过滤不受信端口的DHCP应答报文；

● 构建和守护DHCP Snooping绑定表，其中蕴含用户获取到的IP信息以及用户MAC地址、VID、PORT和租约功夫等信息；

● 通过与ARP检测职能或ARP Check职能共同使用，能够进一步实现节造用户合法使用IP地址的主张。

2 DHCP Snooping若何工作

2.1 DHCP工作道理

在介绍DHCP Snooping若何工作之前，先简要注明DHCP的工作机造。

DHCP是一个被宽泛利用的、为局域网内主机动态分配IP地址等沉要信息的和谈。一次DHCP和谈交互能够单一概括为如下4个步骤：

(1) DHCP客户端通过广播DHCP Discover报文来向局域网内的DHCP服务器要求服务。

(2) DHCP服务器凭据自身配置的IP地址池、相应的子网掩码和网关等信息，通过DHCP Offer报文应答客户端。

(3) 若接受DHCP Offer报文中的配置，DHCP客户端则广播DHCP Request报文以公告DHCP服务器和局域网内其他主机其生效的IP地址。

(4) 最后，服务器将会应答DHCP ACK报文给客户端进行最终确认。

如图2-1中，通过DHCP和谈交互，客户端从DHCP地址池中租用了IP地址10.0.0.11/24，并得知局域网内网关地址为10.0.0.1。那么，客户端后续的IP数据将发往网关10.0.0.1实现与广域网的通讯。

图2-1 DHCP和谈道理示意图

DHCP和谈道理示意图

2.2 DHCP Snooping预防服务糊弄攻击

由于DHCP Discover/Request是广播报文，如果局域网中参与了攻击者，那么它便能够获取到网络内每一台主机的DHCP要求信息。通过批改IP地址或者网关等信息伪造DHCP Offer/ACK报文应答主机，来达到使用户无法上网或者窃取用户信息的主张，这种攻击方式被称为DHCP服务糊弄攻击。如图2-2，攻击者为了截获局域网内用户的流量，将自己本地的IP地址10.0.0.2作为虚伪网关地址，犯法应答客户端的DHCP要求。后续，客户端的IP数据包将会发往虚伪网关，造成信息泄露。若是攻击者在截获流量的同时对真实网关和客户端之间的数据进行转发，那么网络内受到攻击的主机将感触不到断网等网络异常，荫蔽性极强。

图2-2 DHCP糊弄攻击示意图

GA黄金甲·(中国集团)官方网站

在设备上开启DHCP Snooping职能，把衔接可折服务器的端口设置为Trust口，其余皆为Untrust口，DHCP Snooping可能有效的预防上文所述的DHCP服务糊弄攻击。如图2-3，在Device A上开启DHCP Snooping职能，只有服务器的DHCP Offer/ACK报文可能通过Trust口投递客户端，攻击者设备由于衔接在Untrust口上，其发送的犯法DHCP Offer/ACK报文将不允许通过，从而保障客户端可能获得正确的网络配置，预防了信息泄露。

图2-3 DHCP Snooping预防DHCP糊弄攻击示意图

GA黄金甲·(中国集团)官方网站

2.3 DHCP Snooping预防伪造报文攻击

除了仿冒DHCP服务器，攻击者还能仿冒DHCP客户端对DHCP服务器提议攻击。如图2-4，攻击者通过犯法截获DHCP客户端在局域网内广播的DHCP Discover报文获取其MAC地址，从而仿冒MAC伪造分歧的DHCP客户端向DHCP服务器大量发送犯法要求报文，使得DHCP服务器的IP地址池被亏损，甚至打劫网络内合法客户端的IP地址。一旦服务器的IP地址池被犯法要求耗空，网络内的其他合法主机将由于无法通过DHCP获得IP地址而断网。这种攻击方式被称为伪造DHCP报文攻击，也是一种典型的DoS攻击。

图2-4 伪造DHCP报文攻击示意图

GA黄金甲·(中国集团)官方网站

除了过滤Untrust口的犯法DHCP应答报文，DHCP Snooping通过进一步守护DHCP绑定表项来预防伪造报文攻击。DHCP绑定表项通过窥探合法DHCP报文来对客户端的MAC地址、IP地址租期、接标语和VLAN信息等成立起关联并且守护，从而对后续DHCP客户端要求报文进行过滤。如图2-5，在Device A上部署DHCP Snooping职能并将与客户端主机相连的接口设置为Untrust口。那么，所有通过Untrust口的DHCP要求报文将会首先进行DHCP绑定表项匹配。由于攻击者伪造的报文与Device A上守护的绑定表无法匹配，伪造报文将会被抛弃，从而有效阻止了这类攻击。

图2-5 DHCP Snooping预防伪造DHCP报文攻击示意图

GA黄金甲·(中国集团)官方网站

3 结语

DHCP Snooping作为DHCP安全个性，除了能通过对Untrust口犯法DHCP流量的拦截以及绑定表的守护来预防DHCP服务糊弄攻击和伪造DHCP报文攻击表，还能通过与ARP和谈联动预防ARP入侵。由于DHCP和谈利用宽泛，为提升网络安全机能，在用户接入层部署支持DHCP Snooping个性的设备是极度必要的。

有关链接
DHCP是什么
 DHCP工作流程

有关标签：

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

点赞

<< 入侵检测技术介绍

ACL作用 >>

有关产品

客户评论

no-data

暂无评论

我要评论

您的姓名

您的手机号*

您的邮箱

公司名称

您的评论*

我已仔细阅读并赞成隐衷申明

验证码*

verificationcode?key=techMessage

提交评论

更多技术博文

任何必要，请联系GA黄金甲

与售前照拂交谈

填写项目需要表单

售前征询
售后服务
定见反馈

GA黄金甲·(中国集团)官方网站

返回顶部

收起

文档AI副手

文档评价

该资料是否解决了您的问题？

您对当前页面的中意度若何？

不咋滴

极度好

您中意的原因是（多�。�？

您不中意的原因是（多�。�？

您是否还有其他问题或建议？

为了急剧解决并回复您的问题，您能够留下联系方式

邮箱

手机号

我已赞成并阅读隐衷政策

ev-bg

感激您的反�。�

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

请选择服务项目

售前征询

售后服务

定见反馈

更多联系方式

【网站地图】