如何使用DHCP snooping技术防御网络攻击

在现有交换机上创建DHCP snooping
DHCP snooping是通过现有交换机在数据链路层实现的，它可以对抗攻击，阻挡未授权DHCP服务器。它使2层协议交换机能够检测从特定端口接收的数据帧，然后检查它们是否来自合法的DHCP服务器。
这个2层处理过程包括几个步骤。首先，您需要在交换机上启用全局DHCP，然后再在各个虚拟LAN(VLAN)上启用DHCP snooping。最后，您还必须配置各个可信端口。
下面是一个启用DHCP SNOOPING的例子：
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 30
Switch(config)#interface gigabitethernet1/0/1
Switch(config-if)#ip dhcp snooping trust
在这个例子中，交换机启用了全局DHCP snooping，然后再为VLAN 30启用DHCP snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP snooping可以帮助保证主机只使用分配给它们的IP地址，并且验证只能访问授权的DHCP服务器。在实现之后，DHCP snooping就会丢弃来自未可信DHCP服务器的DHCP消息。
使用DHCP snooping防止ARP缓存污染
DHCP snooping还可以跟踪主机的物理位置，从而可以防御(ARP)缓存污染攻击。它在防御这些攻击的过程中发挥重要作用，因为您可以使用DHCP snooping技术丢弃一些来源与目标MAC地址不符合已定义规则的DHCP消息。管理会收到通过DHCP snooping警报通知的违规行为。当DHCP snooping服务检测到违规行为时，它会在系统日志服务器上记录一条消息“DHCP Snooping”。