思科交换机如何防范欺骗和攻击(3)

　　2.2DHCP Snooping技术概况

　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示：

　　cat4507#sh ip dhcp snooping binding

　　MacAddress IpAddress Lease(sec) Type VLAN Interface

　　00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

　　这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DA）和IP Source Guard使用。

　　2.3基本防范

　　首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文，如下图所示：

　　基本配置示例如下表：

　　IOS 全局命令：

　　ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探

　　ip dhcp snooping

　　接口命令

　　ip dhcp snooping trust

　　no ip dhcp snooping trust (Default)

　　ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务攻击

　　手工添加 DHCP 绑定表

　　ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000

　　导出 DHCP 绑定表到 TFTP 服务器

　　ip dhcp snooping database tftp:// 10.1.1 .1/directory/file

　　需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上，否则交换机重启后 DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用期内，不会再次发起 DHCP 请求，如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术，这些用户将不能访问网络。

　　2.3高级防范

　　通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址，通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址，通常这个地址和客户端的真是 IP 相同，但是如果攻击者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ，实施 Dos 攻击， Port Security 就不起作用了， DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段，判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。