1、什么是DHCP Snooping?
DHCP Snooping是一种网络安全技术,用于防止未经授权的设备在局域网中提供DHCP服务。DHCP(Dynamic Host Configuration Protocol)是一种用于自动分配IP地址和其他网络配置的协议。DHCP Snooping工作原理是通过监视网络中的DHCP消息,确定哪些设备是合法的DHCP服务器,并禁止其他设备提供DHCP服务。DHCP Snooping通常与其他网络安全功能如ARP防护、IP源地址验证等一起使用,以提高网络的安全性和稳定性。
2、DHCP Snooping的作用是啥?
DHCP Snooping的作用是防止网络中的恶意DHCP服务器攻击,以保护网络的安全及稳定性。
DHCP Snooping通过监听网络上的DHCP交互,记录下所有有效的DHCP服务器及其提供的IP地址与MAC地址的对应关系,并将这些信息存储到一个安全的DHCP绑定数据库中。当网络中的主机请求获取IP地址时,交换机会检查其报文中所带的DHCP信息,并与DHCP绑定数据库中的记录进行比对。如果报文中的DHCP服务器信息与数据库中的记录匹配,交换机会将报文转发给请求主机;如果报文中的DHCP服务器信息与数据库中的记录不匹配,交换机会将报文丢弃或转发给指定的端口,并标记其为不受信任的端口。
通过对DHCP交互进行监控和验证,DHCP Snooping可以有效地防止网络中的恶意DHCP服务器攻击,防止非授权的DHCP服务器分配IP地址,防止IP地址冲突和ARP欺骗等网络安全问题的发生。
3、实验拓扑图和实验步骤及命令
实验目的:
掌握dhcp-snooping的基本配置
实验步骤:
1. 配置合法dhcp服务器以及非法dhcp服务器的dhcp功能
2. 在SW1开启dhcp snooping功能,并且将连接合法
dhcp服务器的端口设置为信任接口
3. 在G0/0/3口设置通过dhcp获取ip地址的最大数量为1,
修改PC1的mac地址,模拟网络攻击
实验命令:
合法的DHCP服务器
<Huawei>sy
[Huawei]un in e
[Huawei]dhcp enable
[Huawei]sys dhcp server
[dhcp server]int g0/0/0
[dhcp server-GigabitEthernet0/0/0]ip add 10.1.1.254 24
[dhcp server-GigabitEthernet0/0/0]dhcp select interface
非法的DHCP服务器
<Huawei>sy
[Huawei]un in e
[Huawei]sys Attacker
[Attacker]dhcp enable
[Attacker]int g0/0/0
[Attacker-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Attacker-GigabitEthernet0/0/0]dhcp select interface
LSW1
<Huawei>sy
[Huawei]un in e
[Huawei]sys SW1
[SW1]dhcp enable
[SW1]dhcp snooping enable
[SW1]vlan 1
[SW1-vlan1]dhcp snooping enable
[SW1-vlan1]dhcp snooping trusted interface g0/0/1
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1
实验测试:
可以看到PC1在改变MAC地址后在查看IP地址是没有了的,这是因为在PC1和交换机的链接接口上配置了MAC地址表学习数量为1。
四、总结
总的来说,DHCP Snooping是提升网络中DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程,确保只有经过验证的DHCP服务器才能为客户端分配IP地址,从而有效防止了多种针对DHCP的攻击行为
