企業(yè)內(nèi)部訪問者與外部訪問者的數(shù)量在不斷變化，這增大了它所面對(duì)的安全威脅，而且內(nèi)外訪問的界線也在逐漸模糊。如果一個(gè)組織在設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)時(shí)加入了不安全的系統(tǒng)和協(xié)議，那么網(wǎng)絡(luò)基礎(chǔ)架構(gòu)就可能有風(fēng)險(xiǎn)。例如，有時(shí)候一些2層協(xié)議的安全性就被忽視了，如動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)。DHCP是一種輔助協(xié)議，它工作在后臺(tái)，大多數(shù)用戶都不會(huì)注意到它的存在。事實(shí)上，這種沒有得到重視的情況就意味著供應(yīng)商也可能會(huì)忽略這種攻擊。DHCP snooping就是一種可用于防御許多常見攻擊的防控技術(shù)。

DHCP可能受到幾種不同方式的攻擊，其中包括惡意DHCP服務(wù)器或本地交換網(wǎng)絡(luò)的地址解析協(xié)議(ARP)污染。并非所有意外事件都屬于惡意攻擊。舉個(gè)例子來說，一位最終用戶可能連接了一個(gè)啟用DHCP的網(wǎng)絡(luò)設(shè)備或路由器，結(jié)果就可能給其他用戶分配一個(gè)無效的DHCP地址。另外，攻擊者也可能發(fā)起了一個(gè)資源耗盡的攻擊，并且嘗試用光所有的DHCP地址。危害更大的方法是，攻擊者會(huì)主動(dòng)嘗試重定向用戶的DHCP服務(wù)器請(qǐng)求。當(dāng)然，這些只是促使您使用DHCP snooping技術(shù)的一部分原因。

這種中間人攻擊的機(jī)制要求攻擊者創(chuàng)建自己的DHCP服務(wù)器。接下來，攻擊者會(huì)廣播偽造的DHCP請(qǐng)求，并且嘗試用光DHCP范圍內(nèi)的所有DHCP地址。結(jié)果，合法用戶就無法從DHCP服務(wù)器獲得或更新IP地址。然后，攻擊者就開始用它的欺騙性DHCP服務(wù)器分配所搶占的DHCP地址，使它的地址成為新的網(wǎng)關(guān)。接收到這些地址的最終用戶就可能被重定向到攻擊者，然后再通向互聯(lián)網(wǎng)。這樣它就盜用了網(wǎng)絡(luò)連接。

上面的場(chǎng)景只是經(jīng)典中間人攻擊的另一種變化。這種技術(shù)需要將攻擊者置于所攻擊網(wǎng)絡(luò)內(nèi)部，從而讓他能夠窺探客戶流量?；蛟S您會(huì)認(rèn)為這種攻擊并不可怕，但是現(xiàn)在已經(jīng)出現(xiàn)了許多專門發(fā)起這些攻擊的工具，如Gobbler、DHCPstarv和Yersinia。

在現(xiàn)有交換機(jī)上創(chuàng)建DHCP snooping

DHCP snooping是通過現(xiàn)有交換機(jī)在數(shù)據(jù)鏈路層實(shí)現(xiàn)的，它可以對(duì)抗攻擊，阻擋未授權(quán)DHCP服務(wù)器。它使2層協(xié)議交換機(jī)能夠檢測(cè)從特定端口接收的數(shù)據(jù)幀，然后檢查它們是否來自合法的DHCP服務(wù)器。

這個(gè)2層處理過程包括幾個(gè)步驟。首先，您需要在交換機(jī)上啟用全局DHCP，然后再在各個(gè)虛擬LAN(VLAN)上啟用DHCP snooping。最后，您還必須配置各個(gè)可信端口。

下面是一個(gè)啟用DHCP SNOOPING的例子：

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 30

Switch(config)#interface gigabitethernet1/0/1

Switch(config-if)#ip dhcp snooping trust

在這個(gè)例子中，交換機(jī)啟用了全局DHCP snooping，然后再為VLAN 30啟用DHCP snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP snooping可以幫助保證主機(jī)只使用分配給它們的IP地址，并且驗(yàn)證只能訪問授權(quán)的DHCP服務(wù)器。在實(shí)現(xiàn)之后，DHCP snooping就會(huì)丟棄來自未可信DHCP服務(wù)器的DHCP消息。

使用DHCP snooping防止ARP緩存污染

DHCP snooping還可以跟蹤主機(jī)的物理位置，從而可以防御(ARP)緩存污染攻擊。它在防御這些攻擊的過程中發(fā)揮重要作用，因?yàn)槟梢允褂肈HCP snooping技術(shù)丟棄一些來源與目標(biāo)MAC地址不符合已定義規(guī)則的DHCP消息。管理會(huì)收到通過DHCP snooping警報(bào)通知的違規(guī)行為。當(dāng)DHCP snooping服務(wù)檢測(cè)到違規(guī)行為時(shí)，它會(huì)在系統(tǒng)日志服務(wù)器上記錄一條消息“DHCP Snooping”。

DHCP snooping是實(shí)現(xiàn)2層協(xié)議流量安全性的第一步。惡意DHCP服務(wù)器不僅會(huì)導(dǎo)致網(wǎng)絡(luò)問題，它們還可以被攻擊者用于轉(zhuǎn)發(fā)敏感流量和發(fā)起中間人攻擊。如果還沒有做好這些措施，那么一定要考慮實(shí)現(xiàn)這些防御措施，保證網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全性。