DHCP snooping
DHCP jest to usługa bazująca na transmisji broadcastowej i w związku z tym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi, można spowodować, że serwer zostanie zalany komunikatami DHCP Discover i przestanie działać.
Podłączony wówczas do sieci niezaufany serwer można zacząć przydzielać swoje adresy IP. Funkcjonalność DHCP snooping, polega na przypisaniu do konkretnego portu zaufanego serwera DHCP, a co za tym idzie, uniemożliwi podłączenie „lewego” serwera, do któregoś z innych portów. Dodatkowo funkcjonalność pozwala na ograniczenie ilości możliwych do wysłania z inny portów komunikatów – żądań DHCP Discover, co uniemożliwi wykonanie ataku.
Proces dodawania portu 24 jako zaufanego dla DHCP, w trybie konfiguracji globalnej wpisujemy następujące komendy:
- Switch(config)#interface fastEthernet 0/24 /Konfiguracja szczegółowa 24 interfejsu przełącznika
- Switch(config-if)#ip dhcp snooping trust /Oznaczenie portu 24 jako zaufanego dla serwera DHCP
- Switch(config-if)#exit /Wyjście z trybu konfiguracji szczegółowej 24 interfejsu
- Switch(config)#ip dhcp snooping vlan 1 /Uruchomienie funkcjonalności DHCP Snooping dla vlan’u pierwszego
- Switch(config)#ip dhcp snooping /Potwierdzenie uruchomienia funkcjonalności DHCP Snooping
DHCP DISCOVER – Klient chcący się połączyć z serwerem wysyła do sieci lokalnej pakiety rozgłoszeniowe zaadresowane do wszystkich odbiorców, te właśnie pakiety noszą nazwę DHCP DISCOVER.