HCIP-4.7 dhcp snooping

DHCP面临的安全威胁：

（1）DHCP 饿死攻击 （2）仿冒DHCP Server攻击 （3）DHCP中间人攻击

（1）DHCP 饿死攻击

攻击原理：攻击者持续大量的向DHCP Server中申请IP地址，直到耗尽DHCP Server地址池中的IP地址，导致DHCP Server不能给正常用户进行分配。

漏洞分析：DHCP Server向申请者分配IP地址时，无法区分正常的申请者和恶意的申请者。

CHADDR：Client Hardware Address （MAC地址）

（2）仿冒DHCP Server攻击

攻击原理：攻击者仿冒DHCP Server，向客户端分配错误的IP地址及提供错误的网关等参数，导致客户端无法正常访问网络。

漏洞分析：DHCP客户端收到来自DHCP Server的DHCP消息，无法区分这些DHCP消息是来自仿冒的DHCP Server，还是来自合法的DHCP Server。

（3）DHCP中间人攻击

攻击原理：攻击者利用ARP机制，让PC-A学习到IP-S与MAC-B的映射关系，让Server学习到IP-A和MAC-B的映射关系，如此一来，PC-A与Server之间交互的IP报文都会经过攻击者中转。

漏洞分析：从本质上讲，中间人攻击是一种spoofing IP/MAC攻击，中间人利用了虚假的IP地址与MAC地址之间的映射关系，同时欺骗DHCP的客户端和服务器。

DHCP Snooping

为了增减网络安全，防止DHCP收到攻击，一种称为DHCP Snooping的技术应运而生，DHCP Snooping不是一种标准技术，尚未有统一的标准规范，不同的网络设备制造商在DHCP Snooping实现上也不尽相同。

DHCP Snooping部署在交换机上，其作用类似在DHCP客户端与DHCP服务器之间构筑了一道虚拟的防火墙

DHCP Snooping 用于防止仿冒DHCP Server攻击

Switch：

dhcp enable 
dhcp snooping enable
vlan 8
 dhcp snooping enable
 #
int e0/0/2
 dhcp snooping trusted   // 上连接口添加信任trusted

*全局、接口视图都要dhcp snooping enable