DHCP Server和DHCP Client之间没有认证机制,如果在网络上随意添加一台DHCP服务器,就可能为客户端分配IP地址。如果该DHCP服务器为用户分配错误的IP地址和相应的参数,将会对网络造成非常大的危害。
DHCP 客户端以广播形式发送Discover报文,无论是否是合法的DHCP Server,都可以接收到该报文。
如果此时虚假的DHCP Server回应了DHCP Client信息,发送了虚假消息,例如错误的网关地址、错误的DNS服务器以及错误的IP等。 DHCP Client将导致合法客户无法正常访问网络或信息安全受到严重威胁。
为了防止虚假的DHCP Server攻击,可以配置设备接口为“trust/untrust”模式。将合法的DHCP服务器直接或间接连接到trust接口,其他接口设置为untrust。此后,所有 Untrusted接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止虚假的DHCP Server进行的攻击。
配置防止虚假 DHCP Server 攻击:
dhcp snooping server record
//系统视图下开启DHCP Server的DHCP snooping功能,默认情况下,该功能未开启。
