Là mt kthut dùng cu hình vào port ca switch nhm lng nghe
gói tin DHCP và chn nhng gói tin DHCP gây nguy him cho h
thng mng & dliu ca ngưi dùng.
Để hiu rõ hơn vvn đề này s đưc thhin thông qua bc tranh
tng thsau:
9/28/2019innotel 1
9/28/2019innotel 2
Nhìn vào bc nh thy rng có mt DHCP Server trên
cùng đưc ni vào mt Switch Layer 3, dưi là các ngưi
dùng đang nóng lòng nhn đưc IP tDHCP cp.mt
scâu hi đây: liu rng có thêm mt DHCP Server đưc
cài đặt bt kmt máy tính nào, hay mt router đưc l
đưc cm vào mng và cp DHCP cho ngưi dùng thì nó
có gây nguy hi gì ti hthng?
Trong mt hthng mng ln hơn sluôn tìm thy mt
DHCP Server ti mt lp mng, mt ktn công vi mt
DHCP Server nhgn đưc gn vào mt lp mng con
bt kswitch nào snhanh chóng cp DHCP cho lp
mng đó. Nhưvy ktn công sththay đổi gateway
ca ngưi dùng bng mt IP gateway khác để điu hưng
tt ccác dliu ngưi dùng vmt đim hn mun
(Main-in-the-midle), cũng có ththay đổi DNS ngưi dùng
t đó ktn công dng lên mt DNS Server và gimo
các trang Web.
Nếu không thgimo DHCP Server ktn công cũng
thDoS để m DHCP Server không còn hot động đưc
hoc đã cp hết địa chIP bng cách gi nhiu yêu cu
cp IP gimo đến.
9/28/2019innotel 3
Các cng ca máy ngưi dùng s đưc chđịnh không
bao gi đưc phép gi gói in Offer bng cách xác định
cng đó không đáng tin cy (untrust), chcó mt cng
đưc chnh định có thgi gói tin Offer thêm na
chúng ta sgii hn slưng gói tin Discover trên
cng Untrust để hn chếktn công ch đích mun
làm đầy IP ca DHCP Server.
9/28/2019innotel 4
Port g0/1 & g0/0 SW1 untrust
Port g0/1 SW2 trust
SW2(config)#ip dhcp snooping
SW2(config)#no ip dhcp snooping information option
Mc định switch sthêm vào option 82 sau đó gi ti DHCP Server mt sServer kim tra nếu không ging nhưđã
cu hình trên DHCP Server sdrop gói tin và không cp DHCP nên nếu ngưi dùng bn không nhn đưc IP hãy NO
nó.
SW2(config)#ip dhcp snooping vlan 1
Chn vlan 1 kim tra gói tin DHCP.
SW2(config)#interface range g0/0-1
SW2(config-if)#ip dhcp snooping trust
SW2(config-if)#ip dhcp snooping limit rate 10
SW2(config-if)# end
9/28/2019innotel 5