闫辉 发表于 2022-2-15 10:07:21

作为一名合格的网工,你还不知道DHCP Snooping是如何工作的嘛?

嗨,大家好,小老虎今天为大家带来了DHCP Snooping的工作原理,小本本准备好,我们要开始啦!DHCP Snooping顾名思义是跟DHCP有关的,他是DHCP的一种安全特性,用于保证DHCP客户端从合法DHCP服务器获取IP地址,并记录HDCP客户端IP地址与MAC地址参数的对应关系,防止网络上针对DHCP攻击。

DHCP Snooping有以下两种功能:
1.信任功能:DHCP Snooping信任功能将接口分为信任接口和非信任接口,这样能够保证客户端从合法的服务器获取IP地址
2.分析功能:开启DHCP Snooping功能后,设备能够通过分析DHCP报文交互的过程,生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口以及该接口所属的VLAN,租约信息。
DHCP Snooping在哪些场景中能够应用呢?
1.防止DHCP Server仿冒者攻击
攻击原理:由于DHCP Server和DHCP Client之间没有认证机制,所以当网络中随意增加一台DHCP服务器,他就可以冒充真正的服务器给网络中的其他设备分配IP地址和其他网络参数。如果该DHCP服务器分配的IP地址是错误的,那就会对网络造成非常大的影响。
解决方法:

https://pic2.zhimg.com/80/v2-15794a6fa3b96a3de2136da64506e4e5_720w.jpg

如图所示,为了防止DHCP Server仿冒者攻击,可以将设备上接口配置为“Trusted”和“Untrusted”工作模式。将与合法的DHCP服务器的连接用“Trusted”接口,其他接口设置为“Untrusted”接口,当从“Untrusted”接口收到DHCP回应报文将直接丢弃,这样就可以防止DHCP Server仿冒者的攻击。
2.DHCP报文防洪攻击
攻击原理:网络中的某台攻击设备,向服务器发送大量的DHCP Discover报文,导致服务器处理不过来,最后服务器瘫痪。
解决方法:在使能设备的DHCP Snooping功能时,可同时使能设备对DHCP报文上送DHCP报文处理单元的速率进行检测的功能。此后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。
3.DHCP Server服务拒绝攻击(饿死)
攻击原理:

https://pic2.zhimg.com/80/v2-753e7c3992fff56aa72561df2b6ee011_720w.jpg

如图所示,假设interface 1接口下存在大量攻击者恶意申请的IP地址,那么就会导致DHCP Server中的IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。
解决方法:为了抑制大量的DHCP用户恶意申请IP地址,在使能设备的DHCP Snooping功能后,可配置设备接口允许接入的最大DHCP用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到IP地址。
看完我们小老虎的DHCP Snooping的工作原理,你学会了没?评论点赞来一波,让小老虎看到大家都有在努力学习!最后太阁老师的个人微信添加太阁老师个人微信领取:太阁免费视频资料、NA综合实验配置文件拓扑图及模拟器、太阁独家实验手册、网工必读书籍等   
https://bbs.hh010.com/data/attachment/forum/202108/12/152306f0rn90ir97qeeh7h.jpg

你是小宝贝 发表于 2022-2-15 13:33:21

{:6_267:}{:6_267:}{:6_267:}{:6_267:}

小小燕的jojo 发表于 2022-2-15 13:34:12

{:6_267:}{:6_267:}{:6_267:}

Ky0 发表于 2022-2-15 13:35:46

{:6_267:}{:6_267:}{:6_267:}

青花鱼 发表于 2022-2-15 13:38:47

{:6_267:}{:6_267:}{:6_267:}{:6_267:}

ICONMAN 发表于 2022-2-15 13:40:09

{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}

不过IE不改名啊 发表于 2022-2-15 13:41:14

{:6_267:}{:6_267:}{:6_267:}{:6_267:}

徐猫快乐日记 发表于 2022-2-15 13:44:07

{:6_267:}{:6_267:}{:6_267:}

章乃秋 发表于 2022-2-15 13:49:08

辉哥威武
{:6_267:}{:6_267:}{:6_267:}

Houxias 发表于 2022-2-16 12:53:49

{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}

青花鱼 发表于 2022-2-17 13:10:36

{:6_267:}{:6_267:}{:6_267:}

小小燕的jojo 发表于 2022-2-17 13:16:31

{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}

徐猫快乐日记 发表于 2022-2-17 13:31:10

{:6_267:}{:6_267:}{:6_267:}

太阁网络 发表于 2022-2-18 11:55:27

{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}

Houxias 发表于 2022-2-21 14:58:03

{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}
页: [1] 2
查看完整版本: 作为一名合格的网工,你还不知道DHCP Snooping是如何工作的嘛?