11.3 Mitigate DHCP Attacks
DHCP Snooping
DHCP Snooping — главный switch feature против:
DHCP starvation;DHCP spoofing.
Ключевая идея:
- все ports по умолчанию считаются
untrusted; - только реально легитимные uplinks / server-facing ports становятся
trusted; - switch строит
DHCP snooping binding table.
DHCP snooping binding table — таблица соответствий MAC/IP/VLAN/interface, собранная из валидного DHCP exchange. networkterm trusted port — interface, на котором DHCP server messages разрешены. networkterm untrusted port — interface, где DHCP server behavior блокируется и проверяется строже. networkterm
Steps to implement DHCP Snooping
- включить DHCP snooping globally;
- пометить trusted interfaces;
- на untrusted ports ограничить DHCP rate;
- включить snooping на нужных VLANs.
Базовый пример
ip dhcp snooping
interface f0/1
ip dhcp snooping trust
interface range f0/5 - 24
ip dhcp snooping limit rate 6
ip dhcp snooping vlan 5,10,50-52ip dhcp snooping ciscoIOScommand
Включает DHCP snooping globally на switch.
ip dhcp snooping trust ciscoIOScommand
Делает interface trusted для DHCP snooping.
ip dhcp snooping limit rate 6 ciscoIOScommand
Ограничивает количество DHCP packets per second на untrusted port.
ip dhcp snooping vlan 5,10,50-52 ciscoIOScommand
Включает DHCP snooping на выбранных VLANs.
Verify
show ip dhcp snooping
show ip dhcp snooping bindingshow ip dhcp snooping ciscoIOScommand
Показывает global DHCP snooping status, trusted ports и rate limits.
show ip dhcp snooping binding ciscoIOScommand
Показывает binding table клиентов, получивших DHCP information.
Что нужно держать в голове
server-facing / uplink = trusted
user-facing access ports = untrusted
Если понял тему
Ты можешь настроить trusted/untrusted model и объяснить, почему rogue DHCP server на access port перестанет нормально работать.