DHCP Snooping的服務(wù)結(jié)構(gòu)和配置
作者:佚名
下面我們來對(duì)DHCP Snooping的內(nèi)容進(jìn)行了講解。這次我們分析了這個(gè)服務(wù)的結(jié)構(gòu),以及配置的內(nèi)容。希望對(duì)大家有用。
針對(duì)DHCP Snooping的問題,我們?cè)谥暗囊恍┪恼轮幸惨呀?jīng)介紹過了。這里我們?cè)賮碓敿?xì)地總結(jié)一下。其中工也為大家舉出了圖示,希望能夠讓大家對(duì)這部分知識(shí)有一個(gè)直觀的認(rèn)識(shí)。
DHCP Server Spoofing
攻擊者在交換機(jī)上架設(shè)了一個(gè)非法的DHCP服務(wù)器,將地址發(fā)送給客戶端(網(wǎng)絡(luò)中客戶端從哪個(gè)DHCP上拿地址全憑人品,完全是誰快從誰哪里拿)攻擊者可以將客戶端的網(wǎng)關(guān)指向自己,于是可以得到客戶端所有的數(shù)據(jù)包,之后再做一個(gè)中繼,將數(shù)據(jù)包轉(zhuǎn)發(fā)至真正的網(wǎng)關(guān),但客戶端感覺不到異樣。
防范方法
配置DHCP Snooping
配置IP DHCP Snooping 步驟
1 在全局開啟DHCP Snooping(必須)
ip dhcp snooping
2 在vlan上啟用
ip dhcp snooping vlan 11-200
3 接口上啟用 DHCP Trust(很重要的命令,默認(rèn)全局啟用了dhcp snooping之后,所有的接口都是untrust,只允許接PC,必須在和dhcp服務(wù)器,接入層交換機(jī)相連的接口下配置trust。untrust接口只能夠發(fā)送DHCP請(qǐng)求,其余的DHCP相關(guān)包都會(huì)丟棄)
ip dhcp snooping trust
4 可以在接pc的接口上配置dhcp包的速率
ip dhcp snooping limit rate 100
責(zé)任編輯:佟健
來源:
hi.baidu.com
