1.信任功能：

作用：DHCP snooping的信任功能，就是為了讓用戶從合法的DHCP 服務器上獲取到IP地址。 DHCP Snooping 信任功能允許將端口分為信任端口和非信任端口：信任端口正常轉發接收到的 DHCP 應答報文。非信任端口在接收到 DHCP 服務器響應的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 報文后，丟棄該報文。 說明： 管理員在部署網絡時，一般將與合法 DHCP 服務器直接或間接連接的端口設置為信任端口，其他端口設置為非信任端口，從而保證 DHCP 客戶端只能從合法的 DHCP 服務器獲取 IP 地址，私自架設的偽 DHCP 服務器無法為DHCP 客戶端分配 IP 地址。

2.基本監聽功能：

作用：DHCP Snooping 的基本監聽功能，能夠記錄 DHCP 客戶端 IP 地址與MAC地址等參數的對應關系。 由于 DHCP Snooping 綁定表記錄了 DHCP 客戶端 IP 地址與 MAC 地址等參數的對應關系，故通過對報文與 DHCP Snooping 綁定表進行匹配檢查，能夠有效的防止攻擊者構造合法用戶報文對網絡進行的攻擊。

3.DHCP攻擊分類：

1.DHCP仿冒攻擊 防御：配置信任接口、配置 DHCP Reply 報文丟棄告警功能。 2.DHCP中間人攻擊 防御：DHCP Snooping 綁定表工作模式。當接口接收到 ARP 報文，使用 ARP 報文頭中的“源 IP+源 MAC”匹配 DHCP Snooping綁定表。如果匹配就進行轉發，如果不匹配就丟棄。 3.改變CHDDR字段的DOS攻擊 防御：DHCP Snooping 檢查 DHCP 請求報文中 CHADDR 字段的功能。如果該字段跟數據幀頭部的源MAC 相匹配，便轉發報文；否則，丟棄報文。

總結

以上是生活随笔為你收集整理的DHCP snooping 原理和工作工程：的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。