DHCP snooping

6 czerwca 2019 0 By Marcin Marek

DHCP jest to usługa bazująca na transmisji broadcastowej i w związku z tym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi, można spowodować, że serwer zostanie zalany komunikatami DHCP Discover i przestanie działać.

Podłączony wówczas do sieci niezaufany serwer można zacząć przydzielać swoje adresy IP. Funkcjonalność DHCP snooping, polega na przypisaniu do konkretnego portu zaufanego serwera DHCP, a co za tym idzie, uniemożliwi podłączenie „lewego” serwera, do któregoś z innych portów. Dodatkowo funkcjonalność pozwala na ograniczenie ilości możliwych do wysłania z inny portów komunikatów – żądań DHCP Discover, co uniemożliwi wykonanie ataku.

Proces dodawania portu 24 jako zaufanego dla DHCP, w trybie konfiguracji globalnej wpisujemy następujące komendy:

  • Switch(config)#interface fastEthernet 0/24 /Konfiguracja szczegółowa 24 interfejsu przełącznika
  • Switch(config-if)#ip dhcp snooping trust /Oznaczenie portu 24 jako zaufanego dla serwera DHCP
  • Switch(config-if)#exit /Wyjście z trybu konfiguracji szczegółowej 24 interfejsu
  • Switch(config)#ip dhcp snooping vlan 1 /Uruchomienie funkcjonalności DHCP Snooping dla vlan’u pierwszego
  • Switch(config)#ip dhcp snooping /Potwierdzenie uruchomienia funkcjonalności DHCP Snooping

DHCP DISCOVER – Klient chcący się połączyć z serwerem wysyła do sieci lokalnej pakiety rozgłoszeniowe zaadresowane do wszystkich odbiorców, te właśnie pakiety noszą nazwę DHCP DISCOVER.