IP DHCP Snooping技术是针对DHCP Snoofing攻击采用的安全技术

DHCP Snoofing:攻击者伪装成DHCP Server,回复客户端有效的DHCP申请,并且发送大量DHCP请求对真正的DHCP Server。攻击者再把网关指向本设备,即中间人攻击。

DHCP Snooping技术把接口分为Trust和Untrust,把真正DHCP Server设置为Trust,其他为Untrust,Trust可以转发DHCP报文,Untrust不行。DHCP Snooping会形成一张绑定表,其中包含了客户端的MAC地址,VLAN ID,接口等,这也是DAI技术和IP源防护的基准。

DAI(动态ARP检测):用于防护攻击者发出错误的ARP信息来覆盖正确的ARP信息的攻击。

IP源防护:用于抵御IP地址的欺骗。

实验拓扑:

1、配置VLAN,DHCP服务,DHCP中继,为PC1的F0/0下发IP地址。

2、配置DHCP Snooping但不设置Trust

3、再次让PC1获取IP地址

4、开启Trust接口(默认所有接口为Untrust接口)
IP地址可以正常获取。

5、开启IP源防护