DHCP snooping là một trong những hào kiệt bảo mật thông tin nhằm ngăn chặn vấn đề giả mạo DHCP VPS nhằm gửi những gói tin DHCP giả mạo.

Bạn đang xem: Dhcp snooping là gì

lúc DHCP snooping được kích hoạt, cổng bên trên Switch vẫn phân một số loại thành cổng tin cẩn (trusted) và thiếu tín nhiệm cậy (untrusted). Cổng tin yêu có thể chấp nhận được dấn DHCP Reply tốt cổng được kết nối với Server DHCP. (Orginal Server). Nếu DHCPhường. Server hàng nhái (Fake Server) tích hợp cổng “untrusted” với gởi DHCP reply thì gói Reply vẫn bị nockout bỏ bên cạnh đó tự động hóa shutdown cổng - gửi thanh lịch trạng thái err-disable

DHCP. snooping cũng có một cửa hàng tài liệu có cất thúc đẩy MAC của client, tương tác IP. được cung cấp, thời gian cấp bao lâu, báo cáo cổng,...

*

Tại sao bọn họ đề nghị DHCP Snooping?Chúng ta yêu cầu DHCPhường. Snooping nhằm ngăn chặn những cuộc tiến công “man-in-the-middle”. Giả sử trường thọ một kẻ tiến công “man-in-the-middle” hàng nhái DHCPhường server cùng vấn đáp đến gói tin DHCPDISCOVER trước khi DHCPhường Server thực trả lời, từ bỏ kia DHCP. hàng fake vẫn gửi đọc tin thông số kỹ thuật IP. trong số đó gồm gateway hàng fake. Lúc laptop của người dùng gởi tài liệu cho gateway nhằm ra mạng bên ngoài, máy tính xách tay của kẻ tiến công đang trở thành gateway vào ngôi trường vừa lòng này. Kẻ tấn công hoàn toàn có thể so với nội dung của từng gói dữ liệu được gởi mang đến trước khi tiến hành nối tiếp thông thường.

Xem thêm: Bí Kíp Hướng Dẫn Cách Chơi Cờ Vua Cơ Bản Cho Người Mới Bắt Đầu Học

(Ngoài ra DHCP. Snooping còn được vận dụng để tránh vấn đề người dùng tự cắm trang bị wifi bao gồm hào kiệt DHCP. hệ thống cấp IP lộn lạo khiến mất ổn định mạng.)

Mô hình thực hiện cấu hình

*

Các client vẫn kết nối tới port untrusted, khoác định toàn bộ các port những là untrusted. client gửi thông điệp DHCPDISCOVER với DHCPhường Snooping đã có được bật lên thì switch chỉ forward thông điệp DHCP broadcast cho tới các cổng trusted. Trong quy mô này distribution switch vẫn nhập vai trò là 1 trong những DHCPhường Server. Trusted port là port độc nhất chất nhận được DHCPhường Server gửi thông điệp trả lời DHCPOFFER

Cấu hìnhTrước hết chúng ta đã vào SW1 và bật nhân tài DHCPhường Snooping:

SW1(config)#ip dhcp snooping

Chúng ta rất cần được kích hoạt cho những VLAN, vào trường hợp này chúng ta chỉ sử dụng đến VLAN1

SW1(config)#ip dhcp snooping vlan 1

Bây tiếng họ đã cấu hình interface f0/1 kết nối cùng với DSWmột là một trusted port:

SW1(config)#interface f0/1SW1(config-if)#ip dhcp snooping trust

Chúng ta buộc phải kích hoạt rate limiting bên trên các cổng untrusted nhằm số lượng giới hạn packet được truyền dấn mỗi giây để ngăn chặn Việc quá thiết lập DHCP.. Server.

SW1(config)#interface f0/1SW1(config-if)#ip dhcp snooping limit rate 25

Kiểm traBây tiếng chúng ta vẫn chất vấn lại cấu hình DHCP Snooping

SW1#show ip dhcp snoopingSwitch DHCPhường snooping is enabledDHCPhường. snooping is configured on following VLANs: 1Insertion of option 82 is enabledOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterface Trusted Rate limit (pps)----------------------- ------- ----------------FastEthernet0/24 no unlimitedFastEthernet0/1 yes 25

Tiếp theo họ đã kết nối máy tính xách tay client vào cổng Fa0/24 bên trên SW1 nhằm xin IPhường. cồn, bạn cũng có thể thấy những IPhường được cung cấp đã có được DHCP Snooping lưu lại lại:

*

DHCP Option 82Do Lúc kích hoạt thiên tài DHCP Snooping bên trên SW1, DHCP.. Option 82 sẽ được phân phối các DHCPhường packet Khi đi qua 1 switch. Option 82 chứa báo cáo ví dụ về port cơ mà client liên kết tới. Các gói tin DHCP. cũng mang theo một trường “giaddr” mặc định được cấu hình thiết lập là 0.0.0.0 (một quý hiếm không giống 0)lúc DHCP. Snooping hoặc DHCPhường relay agent được kích hoạt, DHCP Option 82 sẽ được cung ứng DHCPhường packet Lúc đi sang một switch. Option 82 đựng đọc tin rõ ràng về port mà lại client kết nối cho tới.

*

Trong quy mô này, những cổng đối diện cùng với DHCPhường. Server là Fa0/2 bên trên SW1, Fa0/11 bên trên SW2, các cổng này đã có thông số kỹ thuật là trusted. Mặc định SW1 đang chèn DHCPhường Option 82 vào toàn bộ những packet nhưng mà nó nhận thấy trường đoản cú client. Cũng theo khoác định thì SW2 sẽ hủy những packet này Lúc nhận thấy bởi vì một switch Lúc DHCPhường Snooping được kích hoạt đã hủy các packet trên cổng untrusted bao gồm cất Option 82 hoặc có giaddr khác 0 (ví dụ 0.0.0.0). Dưới đây là thông điệp cơ mà họ bắt gặp nếu debug trên SW2 khi SW1 gửi DHCPDISCOVER ra cổng

Fa0/2%DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port

Chúng ta có thể thấy cổng Fa0/24 trên SW2 là một trong những cổng untrusted do đó nó đã hủy các packet từ bỏ Client gửi mang đến vì chưng có đựng Option 82 vị trên SW1 sẽ kích hoạt DHCP. Snooping, các packet sẽ không bao giờ mang lại được DSW1. Chúng ta vẫn xử lý vấn đề này bằng phương pháp sử dụng một lệnh bên trên SW2 đang trusted các gói tin đựng DHCP Option 82 được nhận trên cổng untrusted (Fa0/24).

SW2(config)#ip dhcp snooping information option allow-untrusted

Bởi vì chưng DHCPhường. Server của chúng ta là 1 trong những thứ Cisteo IOS, mặc định nó vẫn không đồng ý những gói tin chứa Option 82 bắt buộc chúng ta cũng cần phải trust trên DSW1

DSW1(config)#ip dhcp relay information trust-all

Ngoài ra họ còn có một vài phương pháp khác ví như thông số kỹ thuật trusted bên trên Fa0/24 của SW2 hoặc chúng ta cũng có thể thông số kỹ thuật trên SW1

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *