所有的前提是必须开启了dhcp snooping功能
一、dhcp 饿死攻击:
接口下或vlan下开启
dhcp snooping check dhcp-chaddr enable
开启二层源mac和chaddr一致性检测
dhcp snooping max-user-number 1
接口上手动配置的绑定成员数量(可选择项)
dhcp snooping stick-mac mac地址
接口上手动配置, 防止因二层arp欺骗造成的本身就是错的攻击(如果没二层arp攻击可不设置)
二、dhcp防冒dhcp server攻击(私接小路由器发dhcp):
dhcp snooping enable
全局下开启
dhcp snooping trusted
上联口开信任
三、防dhcp 中间人攻击
系统视图下执行:arp dhcp-snooping-detect enable
开arp报文和snooping 绑定表匹配检查功能
四、IPSG(防止下面的人手动配置IP)
捉包看客户端的mac地址和数据帧的mac应该相同(除了过三层外),如果不同就是攻击
意思就是pc发出的dhcp请求包,源mac和dhcp里的客户端mac要一样
两种方法,一种手动,一种自动:
静态手动要一条一条的添加:
user-bind static ip-address 192.168.1.1 mac-address 555e-5686-8789 interface g0/0/2 valn
动态自动:
端口或vlan下
ip source check user-bind enable
开户dhcp snooping 和ipsg联动功能