1.信任功能：

作用：DHCP snooping的信任功能，就是為了讓用戶從合法的DHCP 服務(wù)器上獲取到IP地址。 DHCP Snooping 信任功能允許將端口分為信任端口和非信任端口：信任端口正常轉(zhuǎn)發(fā)接收到的 DHCP 應(yīng)答報(bào)文。非信任端口在接收到 DHCP 服務(wù)器響應(yīng)的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 報(bào)文后，丟棄該報(bào)文。 說明： 管理員在部署網(wǎng)絡(luò)時(shí)，一般將與合法 DHCP 服務(wù)器直接或間接連接的端口設(shè)置為信任端口，其他端口設(shè)置為非信任端口，從而保證 DHCP 客戶端只能從合法的 DHCP 服務(wù)器獲取 IP 地址，私自架設(shè)的偽 DHCP 服務(wù)器無法為DHCP 客戶端分配 IP 地址。

2.基本監(jiān)聽功能：

作用：DHCP Snooping 的基本監(jiān)聽功能，能夠記錄 DHCP 客戶端 IP 地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系。 由于 DHCP Snooping 綁定表記錄了 DHCP 客戶端 IP 地址與 MAC 地址等參數(shù)的對(duì)應(yīng)關(guān)系，故通過對(duì)報(bào)文與 DHCP Snooping 綁定表進(jìn)行匹配檢查，能夠有效的防止攻擊者構(gòu)造合法用戶報(bào)文對(duì)網(wǎng)絡(luò)進(jìn)行的攻擊。

3.DHCP攻擊分類：

1.DHCP仿冒攻擊 防御：配置信任接口、配置 DHCP Reply 報(bào)文丟棄告警功能。 2.DHCP中間人攻擊 防御：DHCP Snooping 綁定表工作模式。當(dāng)接口接收到 ARP 報(bào)文，使用 ARP 報(bào)文頭中的“源 IP+源 MAC”匹配 DHCP Snooping綁定表。如果匹配就進(jìn)行轉(zhuǎn)發(fā)，如果不匹配就丟棄。 3.改變CHDDR字段的DOS攻擊 防御：DHCP Snooping 檢查 DHCP 請(qǐng)求報(bào)文中 CHADDR 字段的功能。如果該字段跟數(shù)據(jù)幀頭部的源MAC 相匹配，便轉(zhuǎn)發(fā)報(bào)文；否則，丟棄報(bào)文。

總結(jié)

以上是生活随笔為你收集整理的DHCP snooping 原理和工作工程：的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。