DHCP Snooping

已于 2024-12-04 20:54:02 修改
阅读量352 收藏
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 网络 服务器 运维 信息与通信
于 2024-12-04 11:20:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/VVVVWeiYee/article/details/144226747

DHCP 嗅探是一项保障DHCP服务的安全协议,为防范个人私自部署路由器而产生内网内IP地址冲突

端口角色

信任端口(TRUST)

该端口的DHCP报文将被接收

非信任端口(UNTRUST)

该端口的DHCP报文不做处理,被丢弃,也不会发送DHCP相关报文

7939518059fd45de9c02495fa356ad0e.jpg

 DHCP绑定表

通过截获DHCP Server与DHCP Client之间的DHCP报文,建立和维护一张记录DHCP Client信息的DHCP Snooping绑定表,该表包含用户MAC地址、IP地址、租用期、VLANID、接口等信息

cf26ac117ee64d768e9cfecbc684e75f.jpg

OP82

RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息。DHCP Snooping设备或DHCP Relay通过在DHCP请求报文中添加Option82选项,将DHCP Client的精确物理位置信息传递给DHCP Server,从而使得DHCP Server能够为主机分配合适的IP地址和其他配置信息,实现对客户端的安全控制。

Option82包含两个常用子选项Circuit ID和Remote ID

Circuit ID子选项:主要用来标识客户端所在的VLAN、接口等信息

Remote ID子选项:主要用来标识客户端接入的设备,一般为设备的MAC地址

设备作为DHCP Relay时,使能或未使能DHCP Snooping功能都可支持Option82选项功能,但若设备在二层网络作为接入设备,则必须使能DHCP Snooping功能方可支持Option82功能。

相关配置

dhcp snooping enable全局启用功能(接口下即把接口配置为untrust)

dhcp snooping trusted(接口下启用)把接口划入trust

dhcp snooping alarm enable

dhcp snooping alarm threshold 100告警开启,对丢弃报文进行统计,阈值为100packet

reset dhcp snooping statistics清除 DHCP Snooping 的统计信息,以便准确查看丢弃报文的信息

dhcp option82 enable配置op82,记录客户端位置,可用于安全控制

什么是DHCP Snooping?如何配置DHCP Snooping
网络技术联盟站
06-14 377
功能描述防护类型防御伪造 DHCP 服务器、避免地址冲突、增强网络安全性使用场景企业园区网、校园网、大型局域网配合机制IP Source Guard、DAI、防止 ARP 欺骗部署难度⭐⭐(简单)“DHCP Snooping,是内网 DHCP 安全防护的第一道门神。” 🛡️。
DHCP snooping 技术原理应用
2302_81149470的博客
09-17 1535
接入交换机开启DHCP Snooping功能,默认情况所有的接口都是Untrust口; 接入交换机连接DHCP服务器的端口设置为DHCP Snooping Trust口; 从Untrust接口收到的DHCP offer 和ACK报文都将被丢弃
DHCP 安全-- DHCP Snooping技术应用
IT界的无名小卒
02-15 1839
关于DHCP在之前的文章中也提到过,它是为网络中的终端提供IP地址的服务。DHCP网络管理员在IP地址分配任务上减轻了很大的压力,而且DHCP服务也简化了对IP地址分发的管理。管理员可以很轻松直观地在DHCP服务器上查看IP地址的使用情况。但是DHCP天生有一个缺陷,就是在DHCP服务器客户端在IP地址请求和分发的过程中,缺少认证机制。所以网络中如果出现一台非法的DHCP服务器为客户端提供非法的IP地址,那么就黑客就可以做一些中间人攻击的操作,给网络的安全性带来了隐患。为了消除这一隐患,我们可以通过DH
怎么理解DHCP Snooping
mogexiuluo的博客
01-19 2050
DHCP SnoopingDHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。 即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。由于DHCP报文缺少认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得错误的IP地址等配置信息,导致客户端无法正常使用网络。启用 DHCP S...
ip dhcp snooping
weixin_34234829的博客
04-22 220
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通...
DHCP Snooping Option 82配置举例.pdf
04-15
描绘了DHCP Snooping 的原理和具体配置
配置DHCP Snooping
weixin_46041124的博客
02-23 4868
而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。2、在接入交换机SwitchA上全局使能DHCP Snooping,然后在连接PC的接口使能DHCP Snooping,同时将上联核心交换机的接口配置为信任接口(信任接口正常接收DHCP服务器响应的DHCP报文。
DHCP Snooping 技术白皮书
04-29
DHCP Snooping技术是一种网络安全特性,主要用于确保DHCP客户端能够从合法的DHCP服务器获取IP地址,并建立客户端MAC地址之间的对应关系,以此来防御针对DHCP的各类网络攻击。在当今网络环境中,随着攻击手段的不断...
dhcp snooping.doc
05-24
"DHCP Snooping 技术要点" DHCP Snooping 是一种 DHCP 安全特性,主要用于防止 DHCP 服务器的冒充、DHCP 服务器的 DOS 攻击、客户端随意指定 IP 地址等问题。本文将详细介绍 DHCP Snooping 的技术要点和常见问题。 ...
dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器
weixin_34729012的博客
02-15 1817
该楼层疑似违规已被系统折叠隐藏此楼查看此楼DHCP Snooping是一种DHCP安全特性,通过MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击、DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。组网需求如图1所示,USG作为DH...
DHCP snooping
Coustomwang的博客
09-19 734
1.使用DHCP snooping,管理员可以指派交换机的端口为信任或非信任端口。 信任端口可以转发DHCP的请求和确认 非信任端口只能转发DHCP请求 2.DHCP snooping 功能在交换机上被激活后,以构建一个表项,这个表项映射:客户端MAC地址,IP地址, VLAN以及端口ID的对应关系。 1.在交换机上全局开启DHCP snooping sw3550(config)#ip dhcp snooping 2.配置本地DHCP snooping 数据库存储位置(需要提...
ip dhcp snooping 配置不当造成PC不能正常获取IP
weixin_33897722的博客
04-20 1671
今天去一个客户那里排查一个困扰他们半个月之久的问题,就是网络中一部分VLAN不能自动获取IP地址,上午去到他们那里已经10点多了,天气有点热,客户的网络结构是,思科6509两台做hsrp为核心层,下面的接入层交换机为思科2950,在6509上启用了DHCP服务,为每个VLAN分配IP地址。现问题就出现在其中的几个VLAN,PC接在这VLAN下就是获取不到IP地址,跟客户沟通知...
2021-02-14-DHCP snooping
小李的博客
02-14 948
DHCP snooping 1.需求 1.1饿死攻击:某公司出现大面积用用户无法上网的情况,且用户未获取到IP地址,DHCPserver中的地址的地址全被分配出去了。 1.2仿冒者DHCPserver攻击:某公司员工在办公室私接无线设备,导致其他用户无法上网。 2.工作原理 DHCP snooping将交换机上的端口分为信任端口(trust端口)和非信任端口(untrusted端口);合法的DHCP server 端和DHCP relay端相连的端口即为信任端口,其他为非信任端口。 3.ensp实验 3.
DHCP snooping详解
热门推荐
mypanlong的专栏
10-07 1万+
一、机制概述       DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那么就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导致PC无法上网。 snooping详解" title="DHCP snooping详解"
IP DHCP SNOOPING工作原理测试
weixin_33805743的博客
05-25 345
一.工作原理:A.在指定VLAN启用DHCP Snooping后,将端口分为Trusted接口和Untrusted接口,默认VLAN所有接口都变为Untrusted接口,需要手动设置Trusted接口。B.对于Untrusted接口,只能接收DHCP的请求消息,不会向这个接口发送出DHCP的请求消息。C.对于Untrusted接口,从接口进入的DHCP的响应消息也会被drop掉D.对于Truste...
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 4659
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
DHCP Snooping技术
刘俊辉个人博客
09-05 825
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址MAC地址等参数的对应关系,防止网络上针对DHCP攻击。RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息
dhcp snooping
最新发布
06-18
### DHCP Snooping 配置实现 DHCP Snooping 是一种重要的网络安全特性,用于防止未经授权的 DHCP 服务器仿冒攻击、IP/MAC 地址欺骗以及其他相关安全威胁。以下是关于 DHCP Snooping 的配置和实现方式的详细说明。 #### 1. DHCP Snooping 的基本原理 DHCP Snooping 通过在交换机上维护一个 DHCP 绑定表来记录合法的 DHCP 客户端信息,包括 IP 地址、MAC 地址、VLAN ID 等参数。此绑定表可以用于其他安全特性(如 IP Source Guard 和 Dynamic ARP Inspection)以进一步增强网络安全性[^3]。 #### 2. DHCP Snooping 的实现步骤 以下是在华为设备上配置 DHCP Snooping 的方法: ```bash # 进入系统视图 system-view # 全局启用 DHCP Snooping 功能 dhcp enable dhcp snooping enable # 在指定 VLAN 上启用 DHCP Snooping vlan 10 dhcp snooping enable # 配置信任端口(连接到合法 DHCP 服务器的端口) interface GigabitEthernet 0/0/1 dhcp snooping trust # 在非信任端口上启用 DHCP Snooping interface GigabitEthernet 0/0/2 port link-type access port default vlan 10 ``` #### 3. DHCP Snooping 的关键配置点 - **全局启用**:必须在全局范围内启用 DHCP Snooping 功能,否则无法生效。 - **信任端口配置**:将连接到合法 DHCP 服务器的端口设置为信任端口,确保这些端口上的 DHCP 消息不会被丢弃。 - **非信任端口限制**:对于普通接入端口(非信任端口),交换机会过滤掉所有来自客户端的 DHCP Offer 和 DHCP ACK 消息,从而防止非法 DHCP 服务器的仿冒攻击[^2]。 #### 4. DHCP Snooping 的绑定表管理 DHCP Snooping 维护了一个动态绑定表,记录了每个 DHCP 客户端的 IP 地址、MAC 地址以及对应的 VLAN 和接口信息。可以通过以下命令查看绑定表内容: ```bash display dhcp snooping binding ``` 此外,还可以手动清除绑定表中的条目: ```bash reset dhcp snooping binding ``` #### 5. DHCP Snooping 的高级功能 - **Option 82**:通过插入 Option 82 信息,可以在 DHCP 请求中附加客户端的具体位置信息(如接入交换机和端口号),便于集中式 DHCP 服务器分配特定范围的 IP 地址[^4]。 - **IP Source Guard (IPSG)**:基于 DHCP Snooping 的绑定表,阻止不符合绑定表规则的流量进入网络。 - **Dynamic ARP Inspection (DAI)**:结合 DHCP Snooping 的绑定表,验证 ARP 报文中的源 IP 地址和 MAC 地址是否匹配,从而防止 ARP 中间人攻击。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值