1.信任功能：

作用：DHCP snooping的信任功能，就是為了讓用戶從合法的DHCP 服務(wù)器上獲取到IP地址。 DHCP Snooping 信任功能允許將端口分為信任端口和非信任端口：信任端口正常轉(zhuǎn)發(fā)接收到的 DHCP 應(yīng)答報(bào)文。非信任端口在接收到 DHCP 服務(wù)器響應(yīng)的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 報(bào)文后，丟棄該報(bào)文。 說(shuō)明： 管理員在部署網(wǎng)絡(luò)時(shí)，一般將與合法 DHCP 服務(wù)器直接或間接連接的端口設(shè)置為信任端口，其他端口設(shè)置為非信任端口，從而保證 DHCP 客戶端只能從合法的 DHCP 服務(wù)器獲取 IP 地址，私自架設(shè)的偽 DHCP 服務(wù)器無(wú)法為DHCP 客戶端分配 IP 地址。

2.基本監(jiān)聽(tīng)功能：

作用：DHCP Snooping 的基本監(jiān)聽(tīng)功能，能夠記錄 DHCP 客戶端 IP 地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系。 由于 DHCP Snooping 綁定表記錄了 DHCP 客戶端 IP 地址與 MAC 地址等參數(shù)的對(duì)應(yīng)關(guān)系，故通過(guò)對(duì)報(bào)文與 DHCP Snooping 綁定表進(jìn)行匹配檢查，能夠有效的防止攻擊者構(gòu)造合法用戶報(bào)文對(duì)網(wǎng)絡(luò)進(jìn)行的攻擊。

3.DHCP攻擊分類：

1.DHCP仿冒攻擊 防御：配置信任接口、配置 DHCP Reply 報(bào)文丟棄告警功能。 2.DHCP中間人攻擊 防御：DHCP Snooping 綁定表工作模式。當(dāng)接口接收到 ARP 報(bào)文，使用 ARP 報(bào)文頭中的“源 IP+源 MAC”匹配 DHCP Snooping綁定表。如果匹配就進(jìn)行轉(zhuǎn)發(fā)，如果不匹配就丟棄。 3.改變CHDDR字段的DOS攻擊 防御：DHCP Snooping 檢查 DHCP 請(qǐng)求報(bào)文中 CHADDR 字段的功能。如果該字段跟數(shù)據(jù)幀頭部的源MAC 相匹配，便轉(zhuǎn)發(fā)報(bào)文；否則，丟棄報(bào)文。

總結(jié)

以上是生活随笔為你收集整理的DHCP snooping 原理和工作工程：的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。