DHCP窥探

概述

DHCP是IP网络中DHCP服务器使用的协议，用于将网络配置数据动态分配给客户端设备（DHCP客户端）。可能的网络配置数据包括用户IP地址，子网掩码，默认网关IP地址，DNS服务器IP地址和租赁持续时间。DHCP协议使DHCP客户端可以使用此类网络配置数据动态配置，而无需任何手动设置过程。

DHCP Snooping是一项安全功能，可帮助避免网络上未经授权的DHCP服务器引起的问题，该问题向DHCP客户端提供了无效的配置数据。没有恶意意图的用户可能会通过在不知不觉中添加到网络A交换机或其他设备（默认情况下启用DHCP服务器）来引起此问题。在某些情况下，具有恶意意图的用户将DHCP服务器添加到网络中，这是他们在中间攻击中拒绝服务的一部分。

DHCP侦探通过区分连接到合法DHCP服务器的可信赖端口以及连接到普通用户的不信任端口来有助于防止此类问题。在未经检查的情况下，在受信任的端口之间转发DHCP数据包。在转发之前，检查了其他开关端口上接收到的DHCP数据包。来自不信任来源的DHCP数据包被删除。

此外，为了支持单独的IP源锁定功能，DHCP Snooping还动态收集客户端信息（VLAN，IPV4地址，MAC地址，接口），将信息添加到Switch IP Binding数据库中。另外，同样在支持IP锁定的方面，可以使用该数据库静态更新IP绑定数据库IPv4源结合或者IPv6源结合命令。静态配置的IP绑定信息取代了同一客户端的任何动态收集的信息。

DHCPV4丢弃DHCPV4数据包的窥探条件

仅适用于DHCPV4侦听。

删除的数据包类型	放弃数据包的条件
DHCPOFFER，DHCPACK，DHCPNACK	来自DHCP服务器的数据包在不信任的端口上收到。该交换机配置为授权DHCP服务器地址的列表，并从受信任的端口上的DHCP服务器收到数据包，该端口的源IP地址不在授权的DHCP服务器地址列表中。
DHCPREASE，DHCPDECLINE	DHCP绑定数据库中具有MAC地址的广播数据包，但是DHCP绑定数据库中的端口与接收到数据包的端口不匹配。
所有DHCP数据包类型	启用时（默认值）在不信任的端口上接收到的DHCP数据包，其中DHCP客户端硬件MAC地址与数据包中的源MAC地址不匹配。启用（默认值）时，将从不信任的端口接收到包含DHCP继电器信息（选项82）的DHCP数据包。