“為什么我的筆記本電腦已經動態獲取了IP地址卻無法上網？”?你在日常生活中遇到過這樣的問題嗎？您是否懷疑 IP 地址的真實性？是否來自授權的DHCP服務器？如果沒有，如何防止這種情況發生？在這篇文章中，將引入一個術語DHCP 偵聽來幫助用戶避免非法 IP 地址。

什么是 DHCP 偵聽？

DHCP 偵聽 是一種第 2 層安全技術，集成到功能強大的網絡交換機的操作系統中，可丟棄確定為不可接受的 DHCP 流量。DHCP 偵聽可防止未經授權（惡意）的 DHCP 服務器向 DHCP 客戶端提供 IP 地址。DHCP 偵聽功能執行以下活動：

DHCP 偵聽如何工作？

要想弄清楚DHCP 偵聽是如何工作的，就必須了解DHCP的工作機制，即動態主機配置協議。啟用 DHCP 后，沒有 IP 地址的網絡設備將通過以下 4 個階段與 DHCP 服務器“交互”。

DHCP 偵聽通常將交換機上的接口分為兩類：受信任和不受信任的端口，如圖 2 所示。受信任的端口是其 DHCP 服務器消息受信任的端口或源。不受信任的端口是 DHCP 服務器消息不受信任的端口。如果發起DHCP 偵聽，則DHCP offer報文只能通過信任端口發送。否則，它將被丟棄。

在確認階段，將根據DHCP ACK消息創建DHCP綁定表。它記下了主機的MAC地址、租用的IP地址、租用時間、綁定類型以及與主機關聯的VLAN號和接口信息，如圖3所示。 hosts 與信息不匹配，將被丟棄。

DHCP 偵聽防止的常見攻擊

DHCP欺騙攻擊

當攻擊者試圖響應 DHCP 請求并試圖將自己列為（欺騙）默認網關或 DNS 服務器時，就會發生 DHCP 欺騙，從而發起中間人攻擊。這樣一來，他們就可以在轉發到真實網關之前攔截來自用戶的流量，或者通過向真實 DHCP 服務器發送大量請求來阻塞 IP 地址資源來執行 DoS。

DHCP饑餓攻擊

DHCP 饑餓攻擊通常以網絡 DHCP 服務器為目標，目的是使用偽造的源 MAC 地址向授權的 DHCP 服務器發送 DHCP REQUEST 消息。DHCP 服務器將通過分配可用的 IP 地址來響應所有請求，而不知道這是 DHCP 饑餓攻擊，從而導致 DHCP 池耗盡。

如何啟用 DHCP 偵聽？

DHCP Snooping 僅適用于有線用戶。作為接入層安全功能，它主要在包含由 DHCP 提供服務的 VLAN 中的接入端口的任何交換機上啟用。在部署DHCP 偵聽時，您需要在要保護的 VLAN 上啟用DHCP 偵聽之前設置可信端口（合法 DHCP 服務器消息將通過的端口）。這可以在 CLI 界面和 Web GUI 中實現。

結論

盡管 DHCP 簡化了 IP 尋址，但同時也引起了安全問題。為了解決這些問題，DHCP 偵聽作為一種保護機制，可以防止來自流氓 DHCP 服務器的無效 DHCP 地址，并可以抵御試圖耗盡所有現有 DHCP 地址的資源耗盡攻擊。FS S3900系列千兆可堆疊管理型交換機可以充分發揮這一特性來保護您的網絡。