局域網成員無法正常上網的頑疾---DHCP服務器"泛濫"一 DHCP簡介二 DHCP Snooping簡介1 DHCP Snooping原理2 DHCP Snooping部署

發布時間：2023-07-03 15:01:08 作者：網友整理

一 DHCP簡介

網絡的普及與網絡技術的成熟，現在的人越離不開網絡，個人的手機，電腦，智能家居設備等都需要網絡，我們的這些用網的設備無論是在在訪問Internet網，還是局域網內部通信都離開不了IP地址的支持，IP地址就是這些硬件在網絡上互相交互信息時用來區分彼此的"名字"，無論你是使用IPv6還是IPv4，都需要給你的網絡設備分配一個對應的地址。

IP地址在計算機的世界里是一段有規律的0和1（二進制數），IPv4地址32位的0和1，IPv6地址128位的0和1，我們人無論是去記憶還是手寫這些二進制的0和1都是非常困難的，可是沒有IP地址你的電腦即使連接了網線，也向運營商辦理了寬帶，上網的基礎環境也準備好了，也就是無法訪問網絡的。而大叔非網絡專業相關的人員不要說去記憶或者配置這些IP地址了，可能對于IP地址的組合與識別都做不到。

既為了簡化IP地址的使用，又為了把網絡管理人員從IP地址配置的重復工作中解放出來，網絡技術里加入了DHCP-- Dynamic Host Configuration Protocol動態主機配置協議。DHCP服務可以為網絡中的接入終端（電腦，手機等普通的用戶設備）自動下發一個正確且不重復的IP地址；同時為了使得用戶可以正常訪問網絡，DHCP服務還會為終端設備下發管理員指定正確的GW-網關地址（提供跨網段訪問）和DNS（提供IP地址與域名的解析）服務器地址。

如圖DHCPserver為接入的終端PC-1到PC-3提供IP地址，掩碼，網關，DNS等上網必須信息。

DHCP服務的正確使用可以為接入終端上網帶來極大的便利，可是如果如果因為錯誤配置及部署導致網絡中存在多個DHCP服務器就會帶來嚴重問題。因為網絡管理員指定的DHCP服務器里配置和網段和網關地址是當前網絡設備（主要是網關路由器）所認識的，這樣獲得IP地址的終端設備是可以找到正確的網關，通過正確的網關設備訪問公網。

從上面的拓撲與測試環境就可以看到獲得192.168.1.0網段IP地址的PC-1是可以訪問外網的，因為這個網段的IP地址我們的網關GW是可以識別的，網關路由器上并不存在172.168.1.0網段的路由，所以無法處理此網段成員的數據。而且網絡中存在于網關設備不匹配的DHCP服務器，會影響網絡的多個終端設備的正常訪問。DHCP功能又是網絡設備最基本的功能之一，所以很多家用的路由器想TP-Link，小米，華為家用路由器都可以當作一臺DHCP服務器，而這些家用路由器配置簡單，很多人都即插即用，一般用在接口擴展或者無線擴展，但很多人并不清楚這些路由器默認運行這DHCP功能，有著缺省的DHCP參數，再不關閉DHCP功能就接入到網絡中，就會為正常的網絡運作埋藏隱患或者造成無法上網的故障。

二 DHCP Snooping簡介

終端設備向DHCP服務器請求地址時發送的是DHCP的廣播消息，這樣在網絡中的（一個廣播域且不涉及DHCP中繼的情況）所有設備都會收到此請求信息，如果網絡中存在多個多個DHCP服務器或者具有DHCP功能的設備都會對這個請求消息做出響應，我們的終端設備是無法分辨哪個是合法的DHCP服務器，哪個是非法的，也無法分辨哪個DHCP服務器的回應的網段是可用的，下發的網關地址是安全的，如果把終端設備請求地址比做人組房子，那我們房客一般是無法分辨出哪些中介（DHCP服務器）是合法的哪些是黑心的？

如果終端設備收到多個DHCP服務器的的回應，終端設備會按照"先到先得"的原則來使用第一個到達終端設備的DHCP數據包中的IP地址。在如今稍微有點規模的網絡中網絡規劃中會設定單獨的DHCP服務器，而且距離用戶的接入層相較來說有點遠，而用戶私自接入的DHCP服務器的數據包往往在接入層，直接面向終端，這樣只要接入端有一臺私自接入DHCP服務器，就會影響到終端的接入端成員，造成成片區域的用戶因為獲得錯誤的IP地址及網關地址而無法正常訪問網絡。

為了防止私自接入或者惡意接入DHCP服務器造成網絡中的終端設備獲得錯誤的IP地址和網關地址而導致的網絡無法正常訪問，也為了防止網絡攻擊者惡意部署DHCP服務器將向內網用戶下發攻擊者指定的網關地址，導致內網用戶訪問外網的數據引導至非法網關導致用戶數據的泄露。

1 DHCP Snooping原理

DHCP Snooping是DHCP安全特性，通常部署在接入端的交換機上，開啟DHCP Snooping功能的交換機會將所有的接口針對DHCP報文設定為不信任狀態---即不轉發或者上傳任何DHCP的請求和回應報文，對于連接合法DHCP服務器的接口設置為信任接口，可以正常發送DHCP報文。

使用DHCP Snooping功能后我們就可以有效的防止因為用戶私自接入具有DHCP功能設備下發錯誤的IP及網關地址導致網絡內的用戶無法正常上網的問題，同時也可以防止針對DHCP發起的各類攻擊，如DHCP餓死攻擊---攻擊者發送大量的DHCP請求報文，將DHCP服務器的IP地址池里的地址占用殆盡，造成合法用戶無地址可用；DHCP的續租報文攻擊—攻擊者冒充合法用戶不斷續租DHCP下發的IP地址，即使使用此IP地址的合法用戶依據下線，DHCP服務器也無法正常回收地址。

接下來我們通過實驗來驗證DHCP Snooping開啟前與開啟后的區別

2 DHCP Snooping部署

1---沒有開啟DHCP Snooping時交換機對于DHCP數據包的處理

，

我們在沒有開啟圖中接入交換機SW-2的DHCP Snooping的情況下，開機電腦PC-3，讓他通過DHCP自動獲得IP地址，這時我們會發現PC-3獲取了非法DHCP服務器提供的 172.168.1.0/24網段的IP地址，因為這個非法服務器（172.168.1.0）距離電腦比合法DHCP服務器（192.168.1.0）要"更近"（物理距離上），所以即使PC-3的DHCP請求包這兩臺DHCP服務器都收到并且都做了回應，PC-3依然只接收了來自非法DHCP服務器的提供的IP地址。

2---接下來我們在SW-2上開啟DHCP Snooping功能繼續在SW-2的G0/0/5接口配置IP地址。