Co to jest DHCP snooping i po co:
- Cel: ochrona sieci przed fałszywymi (rogue) serwerami DHCP i atakami związanymi z dynamicznym przypisywaniem adresów (np. DHCP starvation, rogue DHCP).
- Jak działa: switch monitoruje (snoops) ruch DHCP (DISCOVER/OFFER/REQUEST/ACK). Porty oznaczone jako trusted mogą wysyłać odpowiedzi serwera DHCP; wszystkie inne porty są untrusted i pakiety DHCP OFFER/ACK z nich są odrzucane.
- Skutki: tworzy binding table (MAC + IP + VLAN + lease time + interface) — użyteczne dalej dla funkcji bezpieczeństwa: IP Source Guard i Dynamic ARP Inspection (DAI).
Główne elementy:
- Trusted vs untrusted ports — serwery DHCP, serwery relays i uplink do DHCP powinny być
trusted. - Binding table — local memory / plik db (opcjonalnie) z informacjami o powiązaniach (MAC <-> IP <-> VLAN <-> port).
- Option 82 (DHCP Relay Information) — opcjonalne wstawianie dodatkowych informacji (np. identyfikator portu) do żądań DHCP.
- Rate limiting — ograniczenie tempa pakietów DHCP na portach untrusted.
- Integracja: IP Source Guard wykorzystuje binding table, DAI weryfikuje ARP-y na podstawie binding table.