DHCP流氓客户端(DHCP DOS攻击):攻击者通过在网络中大量申请地址,从而耗干DHCP服务器的地址池,从而让正常用户无法通过DHCP获取IP地址,无法访问网络资源。

    DHCP流氓服务器:通过为用户分配伪造的网络参数,从而让用户的网络数据被监控,或无法访问外网,从而实现攻击者的目的

    假IP:会导致用户无法和网络中的设备通信,导致网络中断。
    GW:会导致用户的流量被监控,敏感信息被泄露
    DNS:会导致用户访问部分网站被监控,从而导致敏感信息泄露

    DHCP snooping :在交换机中通过嗅探网络中的DHCP报文,从而形成五元素绑定表,可以为其他的安全机制提供绑定依据

    交换机配置了DHCP snooping 接口分为trust和untrust接口,默认情况下交换机所有接口均为untrust,untrust接口可以用于连接PC,但不能用于连接DHCP SERVER

    ip dhcp sonooping //开启dhcp snooping
    ip dhcp snooping vlan 1 //在vlan 1开启DHCP SNOOPING

    int e0/0
    ip dhcp snooping trust //将连接DHCP接口改为trust

    show ip dhcp snooping binding //查看五元素绑定表

    如果DHCP服务器是win\linux 无需以下两个配置配置

    没有dhcp snooping 的DHCP报文是没有option 82
    开启了DHCP snooping 后 DHCP报文会添加应该Option 82
    Option 82 : 用于DHCP物理位置添加
    如果加了Option 82 ,dhcp 服务器会认为这个报文被中继过
    DHCP中继的时候会在 Relay agent IP address: 告诉中继地址
    但dhcp snooping 的Relay agent IP address 中继地址是0.0.0.0
    路由器默认不信任中继地址为0 的地址

    方法一:在DHCP服务器的接口
    ip dechp relay information trusted //忽略option 82的信息,并且信任 0.0.0.0的中继地址。

    方法二:在交换机
    no ip dhcp snooping information option //关闭option 82的插入功能

    DAI:动态ARP检测,可以用于在网络中检测ARP报文的合法性,防止出现ARP欺骗攻击
    交换机配置了DAI后,可以检测接口下发出的ARP报文,如果ARP报文中的字段和DHCP SNOOPING绑定表中的字段不符,则认为报文非法,此时丢弃该报文。
    ip arp inspection vlan 1
    show ip arp inspection
    show ip arp inspection int

    关闭某一个接口的DAI,
    int e0/0
    ip arp inspection trust /

    IPSG:IP源保护,用于检测接口下的设备IP地址是否合法,防止用户非法修改IP地址或通过IP地址伪装实现攻击
    ine e0/0
    ip verify source
    \开启后手工配置的IP地址是无法正常上网
    如果想实现手工配置而正常上网
    ip dhcp snooping binding a.a.a.a vlan 10 10.1.1.1