DHCP Snooping基礎及其工作原理介紹

你是否遇到過這樣的問題，“電腦插了網線，也能動態獲取IP地址，可就是上不了網” 別著急，試試我們的捫心自問法：已經獲取的IP地址是否真實可用？是由合法DHCP服務器分配的嗎？如果不是的話，那你可能就已掉入非法DHCP服務器的陷阱。要如何避免這類問題的發生呢？接下來，本文將為您介紹一個新的概念：DHCP Snooping。有了這個神器，我們就可以輕鬆躲避非法IP地址。

DHCP Snooping是什麼？

DHCP Snooping是 DHCP 的一種安全特性，常用於二層網絡。啟用了該功能的交換機，可以屏蔽接入網絡中的非法的DHCP服務器，也就是說，網絡中的客戶端只有從管理員指定的DHCP服務器獲取 IP 地址。DHCP Snooping的主要工作涵蓋一下幾個方面：

• 驗證從非信任途徑接收的DHCP報文，並丟棄不符合要求的報文

• 生成並維護DHCP Binding Table 記錄表

• 根據DHCP Binding Table 記錄表中的信息來驗證非信任主機發來的DHCP報文

DHCP Snooping是怎樣工作的？

前文提到，DHCP Snooping是 DHCP 的一種安全特性，因此要了解DHCP Snooping的工作原理，首先得認識DHCP（動態主機配置協議）。支持DHCP的網絡設備需要完成以下四個步驟，才會從DHCP服務器獲取到IP地址。

DHCP Snooping將交換機上的端口分為信任 （trusted)和非信任 （untrusted)兩種類型。交換機只轉發信任端口的 DHCP OFFER/ACK/NAK報文，丟棄非信任端口的 DHCP OFFER/ACK/NAK報文，從而達到阻斷非法 DHCP 服務器的目的。 如果啟動了DHCP Snooping，則DHCP服務器只能通過信任端口發送DHCP OFFER報文。 否則，報文將被丟棄。

在第四步Acknowledgment環節，會根據ACK報文中的信息生成一個DHCP綁定表。表中記錄用戶的MAC地址、IP地址、租約時間、類型、VLAN、端口等信息，如下表所示。後續從非信任用戶發來的DHCP報文如不能在表中找到相應的匹配，則會被丟棄。

DHCP Snooping可防禦的攻擊種類

Spoofing攻擊

惡意攻擊者想探聽用戶和網關之間的通信，給用戶發送偽造的ARP應答報文，使用戶誤認為自己就是默認網關或DNS服務器。此後，用戶和網關之間看似“直接”的通信，實際上都是通過黑客所在的用戶間接進行的，即黑客擔當了“中間人”的角色，可以對信息進行了竊取和篡改。

仿冒DHCP報文攻擊

如果攻擊者冒充合法用戶不斷向DHCP Server發送DHCP REQUEST報文來續租IP地址，會導致這些到期的IP地址無法正常回收，以致一些合法用戶不能獲得IP地址；而若攻擊者仿冒合法用戶的DHCP Release報文發往DHCP Server，將會導致用戶異常下線。

如何開啟DHCP snooping？

如果接入交換機上連接了有線終端，那就需要開啟DHCP Snooping功能。在你想要保護的VLAN上啟用DHCP Snooping之前，需要先設置信任端口，這些端口允許來自合法DHCP服務器數據包的流通。在CLI命令行界面和Web界面都可以完成該配置。更多配置步驟可參考《飛速（FS）3900交換機DHCP Snooping配置指南》

結束語

雖說DHCP為IP地址的獲取提供了便捷，但也同時埋下了隱患。由於 DHCP 報文缺少認證機制，客戶機有可能從非法 DHCP 服務器獲得錯誤的 IP 地址等配置信息，導致客戶端無法正常使用網絡，也就有了開頭出現的問題。本文提供的解決辦法是DHCP Snooping。它既可以拒絕接受來自非法DHCP服務器的無效IP地址等配置信息，也可以防止用戶惡意索取IP地址，造成IP地址池的枯竭。飛速（FS）3900系列交換機等擁有這一功能，為您的網絡傳輸保駕護航。