“為什么我的筆記本電腦已經(jīng)動態(tài)獲取了IP地址卻無法上網(wǎng)？”?你在日常生活中遇到過這樣的問題嗎？您是否懷疑 IP 地址的真實(shí)性？是否來自授權(quán)的DHCP服務(wù)器？如果沒有，如何防止這種情況發(fā)生？在這篇文章中，將引入一個術(shù)語DHCP 偵聽來幫助用戶避免非法 IP 地址。

什么是 DHCP 偵聽？

DHCP 偵聽 是一種第 2 層安全技術(shù)，集成到功能強(qiáng)大的網(wǎng)絡(luò)交換機(jī)的操作系統(tǒng)中，可丟棄確定為不可接受的 DHCP 流量。DHCP 偵聽可防止未經(jīng)授權(quán)（惡意）的 DHCP 服務(wù)器向 DHCP 客戶端提供 IP 地址。DHCP 偵聽功能執(zhí)行以下活動：

DHCP 偵聽如何工作？

要想弄清楚DHCP 偵聽是如何工作的，就必須了解DHCP的工作機(jī)制，即動態(tài)主機(jī)配置協(xié)議。啟用 DHCP 后，沒有 IP 地址的網(wǎng)絡(luò)設(shè)備將通過以下 4 個階段與 DHCP 服務(wù)器“交互”。

DHCP 偵聽通常將交換機(jī)上的接口分為兩類：受信任和不受信任的端口，如圖 2 所示。受信任的端口是其 DHCP 服務(wù)器消息受信任的端口或源。不受信任的端口是 DHCP 服務(wù)器消息不受信任的端口。如果發(fā)起DHCP 偵聽，則DHCP offer報文只能通過信任端口發(fā)送。否則，它將被丟棄。

在確認(rèn)階段，將根據(jù)DHCP ACK消息創(chuàng)建DHCP綁定表。它記下了主機(jī)的MAC地址、租用的IP地址、租用時間、綁定類型以及與主機(jī)關(guān)聯(lián)的VLAN號和接口信息，如圖3所示。 hosts 與信息不匹配，將被丟棄。

DHCP 偵聽防止的常見攻擊

DHCP欺騙攻擊

當(dāng)攻擊者試圖響應(yīng) DHCP 請求并試圖將自己列為（欺騙）默認(rèn)網(wǎng)關(guān)或 DNS 服務(wù)器時，就會發(fā)生 DHCP 欺騙，從而發(fā)起中間人攻擊。這樣一來，他們就可以在轉(zhuǎn)發(fā)到真實(shí)網(wǎng)關(guān)之前攔截來自用戶的流量，或者通過向真實(shí) DHCP 服務(wù)器發(fā)送大量請求來阻塞 IP 地址資源來執(zhí)行 DoS。

DHCP饑餓攻擊

DHCP 饑餓攻擊通常以網(wǎng)絡(luò) DHCP 服務(wù)器為目標(biāo)，目的是使用偽造的源 MAC 地址向授權(quán)的 DHCP 服務(wù)器發(fā)送 DHCP REQUEST 消息。DHCP 服務(wù)器將通過分配可用的 IP 地址來響應(yīng)所有請求，而不知道這是 DHCP 饑餓攻擊，從而導(dǎo)致 DHCP 池耗盡。

如何啟用 DHCP 偵聽？

DHCP Snooping 僅適用于有線用戶。作為接入層安全功能，它主要在包含由 DHCP 提供服務(wù)的 VLAN 中的接入端口的任何交換機(jī)上啟用。在部署DHCP 偵聽時，您需要在要保護(hù)的 VLAN 上啟用DHCP 偵聽之前設(shè)置可信端口（合法 DHCP 服務(wù)器消息將通過的端口）。這可以在 CLI 界面和 Web GUI 中實(shí)現(xiàn)。

結(jié)論

盡管 DHCP 簡化了 IP 尋址，但同時也引起了安全問題。為了解決這些問題，DHCP 偵聽作為一種保護(hù)機(jī)制，可以防止來自流氓 DHCP 服務(wù)器的無效 DHCP 地址，并可以抵御試圖耗盡所有現(xiàn)有 DHCP 地址的資源耗盡攻擊。FS S3900系列千兆可堆疊管理型交換機(jī)可以充分發(fā)揮這一特性來保護(hù)您的網(wǎng)絡(luò)。