DHCP Snooping

Il est facile d'atténuer les attaques de DHCP starvation en utilisant le port security. Cependant, pour atténuer les attaques DHCP spoofing, il faut une protection plus importante.

Les attaques DHCP spoofing peuvent être atténuées en utilisant le DHCP Snooping. Le DHCP Snooping crée et maintient une base de données que le switch peut utiliser pour filtrer les messages DHCP provenant de sources untrust. La base de données comprend l'adresse MAC du client, l'adresse IP, la durée de location du DHCP, le type de liaison, le numéro de VLAN et les informations d'interface sur chaque port ou interface du switch non fiable.

Configuration

Étape 1. Activez le DHCP Snooping globale.

S1(config)# ip dhcp snooping

Remarque: Par défaut tous les ports sont untrust

Étape 2. Configurer les ports trust (sur les UPLINK et le serveur DHCP).

S1(config-if)# ip dhcp snooping trust

Étape 3. Activez le DHCP Snooping par VLAN, ou par une série de VLAN.

S1(config-if)# ip dhcp snooping vlan 5,10,50-52

Étape 4. (Optionnel) Les ports untrust peut-être limités sur nombre de message DHCP Discovery qu'ils peuvent recevoir par seconde.

S1(config-if)# ip dhcp snooping limit rate <number>

Exemple

S1(config)# ip dhcp snooping
S1(config)#
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)#
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6  !-- Limite de 6 packet DHCP par seconde
S1(config-if)# exit
S1(config)#
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end

Vérification

S1# show ip dhcp snooping

!-- Voir la table de correspondance
S1# show ip dhcp snooping binding