DHCP網(wǎng)絡(luò)安全特性技術(shù)白皮書

1、DHCP網(wǎng)絡(luò)安全特性技術(shù)白皮書關(guān)鍵詞：DHCP，DHCP Server，DHCP Relay， DHCP Client，DHCP Snooping。摘 要：本文主要介紹了基于DHCP Snooping的DHCP安全特性，包括其產(chǎn)生背景、應(yīng)用及其在杭州華三通信技術(shù)有限公司（以下簡稱“H3C公司”）低端以太網(wǎng)交換機(jī)上的實(shí)現(xiàn)。并對(duì)比了基于DHCP中繼和DHCP Snooping的安全機(jī)制的異同，有利于用戶理解和選擇不同的產(chǎn)品和功能。縮略語清單：縮略語英文全名中文解釋DHCPDynamic Host Configuration Protocol動(dòng)態(tài)主機(jī)配置協(xié)議BOOTPBootstrap Protoc

2、ol自舉協(xié)議ARPAddress Resolution Protocol地址解析協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 技術(shù)應(yīng)用背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術(shù)優(yōu)點(diǎn) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 應(yīng)用場合 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 DHCP服務(wù)欺騙攻擊 HYPERLIN

3、K l _bookmark1 4 HYPERLINK l _bookmark2 ARP“中間人”攻擊 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 IP/MAC欺騙攻擊 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 DHCP報(bào)文泛洪攻擊 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 應(yīng)用限制 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 特性介紹 HYPERLINK l _bookmark4 7

4、HYPERLINK l _bookmark4 相關(guān)術(shù)語 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 相關(guān)協(xié)議 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 設(shè)備處理流程 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 DHCP Snooping表項(xiàng)的建立與老化 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 DHCP Snooping信任端口功能 HYPERLINK l _bookmark5 8 H

5、YPERLINK l _bookmark6 ARP入侵檢測功能 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 IP過濾功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark7 DHCP報(bào)文限速功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark8 DHCP Snooping與DHCP Relay安全機(jī)制比較 HYPERLINK l _bookmark8 12 HYPERLINK l _bookmark8 典型組網(wǎng)案例 HYPERLINK l _book

6、mark8 12 HYPERLINK l _bookmark9 總結(jié)和展望 HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark9 參考文獻(xiàn) HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark9 7 附錄 HYPERLINK l _bookmark9 13概述DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是在BOOTP協(xié)議基礎(chǔ)上進(jìn)行了優(yōu)化和擴(kuò)展而產(chǎn)生的一種網(wǎng)絡(luò)配置協(xié)議。InternetDHCP clientSwitch A(DHCP snooping)Sw

7、itch B(DHCP relay)DHCP server圖1 DHCP典型組網(wǎng)示意圖本文主要介紹基于DHCP Snooping技術(shù)的DHCP安全特性，主要包括其產(chǎn)生背景、應(yīng)用及其在H3C低端以太網(wǎng)交換機(jī)的實(shí)現(xiàn)。并對(duì)比了基于DHCP中繼和DHCP Snooping安全機(jī)制的異同，有利于用戶理解和選擇不同的產(chǎn)品和功能。關(guān)于DHCP“客戶/服務(wù)器”通信模式的實(shí)現(xiàn)原理，DHCP報(bào)文格式，以及H3C低端以太網(wǎng)交換機(jī)作為DHCP客戶端、DHCP服務(wù)器和DHCP中繼代理的工作過程請(qǐng)參見DHCP基礎(chǔ)實(shí)現(xiàn)技術(shù)白皮書。技術(shù)應(yīng)用背景DHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運(yùn)行，有很多不安全因素。而且DHCP的運(yùn)作

8、機(jī)制中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。例如，惡意用戶冒充DHCP服務(wù)器，發(fā)放錯(cuò)誤的IP地址、DNS服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，來實(shí)現(xiàn)流量的截取等等。針對(duì)網(wǎng)絡(luò)中DHCP的不安全因素，杭州華三通信技術(shù)有限公司（以下簡稱“H3C公司”）開發(fā)了DHCP中繼和DHCP Snooping的安全特性。交換機(jī)可以通過運(yùn)行在網(wǎng)絡(luò)層的DHCP中繼的安全功能，或運(yùn)行在數(shù)據(jù)鏈路層的DHCP Snooping功能來監(jiān)聽DHCP報(bào)文，記錄服務(wù)器分配給客戶端的IP地址等配置信息，并通過與交換機(jī)上其它功能模塊的配合，提高整體網(wǎng)絡(luò)的安全性。技術(shù)優(yōu)點(diǎn)DHCP Snooping是

9、運(yùn)行在二層接入設(shè)備上的一種DHCP安全特性。設(shè)備通過監(jiān)聽DHCP報(bào)文，過濾不可信任的DHCP信息；建立和維護(hù)DHCP Snooping表項(xiàng)，記錄用戶從DHCP服務(wù)器獲取的IP地址和用戶主機(jī)的MAC地址的對(duì)應(yīng)關(guān)系，一般可以與其它功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。DHCP中繼運(yùn)行在網(wǎng)絡(luò)層，其安全功能與DHCP Snooping類似，同樣是記錄用戶的MAC地址與IP地址的信息，一般與ARP功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。應(yīng)用場合DHCP中繼和DHCP Snooping的安全特性主要應(yīng)用于接入層交換機(jī)上，實(shí)現(xiàn)常見二層網(wǎng)絡(luò)攻擊的防范。表1 常見網(wǎng)絡(luò)攻擊和防范對(duì)照表攻擊類型防范方法DHCP 服務(wù)欺騙

10、攻擊DHCP Snooping 功能、DHCP Snooping 信任端口功能ARP“中間人攻擊DHCP Snooping 功能、ARP 入侵檢測功能IP/MAC 欺騙攻擊DHCP Snooping 功能、IP 過濾功能DHCP 報(bào)文泛洪攻擊DHCP 報(bào)文限速功能DHCP服務(wù)欺騙攻擊在DHCP工作過程中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器，不僅會(huì)給網(wǎng)絡(luò)造成混亂，也對(duì)網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器，通常分為兩種情況：用戶不小心配置的 DHCP 服務(wù)器，由此引起的網(wǎng)絡(luò)混亂非常常見。黑客將正常的 DHCP 服務(wù)器中的 IP 地址耗盡，然后冒充合

11、法的 DHCP 服務(wù)器，為客戶端分配 IP 地址等配置參數(shù)。例如黑客利用冒充的 DHCP 服務(wù)器，為用戶分配一個(gè)經(jīng)過修改的 DNS 服務(wù)器地址，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，這種攻擊的危害是很大。DHCP ClientDHCP SnoopingDHCP ServerDHCPDHCP Server圖2 DHCP服務(wù)欺騙攻擊示意圖為了防止DHCP服務(wù)欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了“DHCP Snooping 信任端口”特性，對(duì)DHCP服務(wù)器信息來源進(jìn)行控制。只允許處理信任端口接收的DHCP響應(yīng)報(bào)文，而非信任端口接收到的DHCP響

12、應(yīng)報(bào)文被交換機(jī)丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務(wù)器獲取IP地址。ARP“中間人”攻擊按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。 HYPERLINK l _bookmark3 如圖3 所示，Host A和Host C通過Switch進(jìn)行通信。此時(shí)，如果有黑客（Host B） 想探聽Host A和Host C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身

13、ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作“中間人（Man-In-The-Middle）攻擊”。圖3 “中間人”攻擊示意圖為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機(jī)提供了“ARP入侵檢測”特性， 根據(jù)動(dòng)態(tài)獲取的DHCP Snooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)，對(duì)非法ARP報(bào)文進(jìn)行過濾，保證接入交換機(jī)只傳遞合法的ARP請(qǐng)求和應(yīng)答信息。IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/M

14、AC欺騙，黑客可以偽造報(bào)文的源地址進(jìn)行攻擊，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)，另外此方法也被應(yīng)用于DoS（ Deny of Service，拒絕服務(wù)）攻擊，嚴(yán)重的危害了網(wǎng)絡(luò)安全。為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了IP過濾特性，開啟該功能后，交換機(jī)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動(dòng)態(tài)獲取的DHCP Snooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)的記錄，防止攻擊者通過偽造源地址來實(shí)施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。DHCP報(bào)文泛洪攻擊DHCP報(bào)文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP請(qǐng)求報(bào)文發(fā)送

15、到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面,如果交換機(jī)上開啟了DHCP Snooping功能，會(huì)將接收到的DHCP報(bào)文上送到CPU。因此大量的DHCP報(bào)文攻擊設(shè)備會(huì)使DHCP服務(wù)器高負(fù)荷運(yùn)行，甚至?xí)?dǎo)致設(shè)備癱瘓。為了防止上述DHCP報(bào)文泛洪攻擊，H3C低端以太網(wǎng)交換機(jī)提供了“DHCP報(bào)文限速”特性，使受到攻擊的端口暫時(shí)關(guān)閉，來避免此類攻擊對(duì)網(wǎng)絡(luò)和服務(wù)器的沖擊。應(yīng)用限制DHCP 中繼和 DHCP Snooping 的安全特性運(yùn)行于不同的網(wǎng)絡(luò)環(huán)境中，因此兩者只需選擇其一應(yīng)用。在同一交換機(jī)上，DHCP Snooping 的啟動(dòng)需以關(guān)閉DHCP 中繼為前提。為了使 DH

16、CP 客戶端通過 DHCP Snooping 設(shè)備從合法的 DHCP 服務(wù)器獲取IP 地址，必須將 DHCP Snooping 設(shè)備上與合法 DHCP 服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與 DHCP 客戶端相連的端口必須在同一個(gè)VLAN 內(nèi)。建議用戶不要在交換機(jī)上同時(shí)配置 DHCP Snooping 功能和靈活 QinQ 功能， 否則可能導(dǎo)致 DHCP Snooping 功能無法正常使用。配置 IP 過濾功能之前，需要先開啟交換機(jī)的 DHCP Snooping 功能，并配置信任端口。建議用戶不要在匯聚組中的端口上配置 IP 過濾功能。如果交換機(jī)支持 IRF 功能，建議用戶不要在

17、Fabric 端口上配置 IP 過濾功能。特性介紹相關(guān)術(shù)語DHCP Server：DHCP 服務(wù)器，為用戶提供可用的 IP 地址等配置信息。DHCP Client：DHCP 客戶端，通過 DHCP 動(dòng)態(tài)申請(qǐng) IP 地址的用戶。DHCP Relay：DHCP 中繼，用戶跨網(wǎng)段申請(qǐng) IP 地址時(shí)，實(shí)現(xiàn) DHCP 報(bào)文的中繼轉(zhuǎn)發(fā)功能。DHCP Snooping：DHCP 監(jiān)聽，記錄通過二層設(shè)備申請(qǐng)到 IP 地址的用戶信息。DCHP Security：DHCP 安全特性，實(shí)現(xiàn)合法用戶 IP 地址表的管理功能。相關(guān)協(xié)議RFC 951：Bootstrap Protocol (BOOTP)RFC 1497：

18、BOOTP Vendor Information ExtensionsRFC 1542：Clarifications and Extensions for the Bootstrap ProtocolRFC 2131：Dynamic Host Configuration ProtocolRFC 2132：DHCP Options and BOOTP Vendor ExtensionsRFC 3046：DHCP Relay Agent Information Option設(shè)備處理流程DHCP Snooping表項(xiàng)的建立與老化開啟DHCP Snooping功能后，H3C低端以太網(wǎng)交換機(jī)根據(jù)設(shè)備的不

19、同特點(diǎn)可以分別采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息。目前，H3C低端以太網(wǎng)交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口 HYPERLINK l _bookmark5 信息、租約信息，如圖4 所示。圖4 DHCP Snooping表項(xiàng)示意圖為了對(duì)已經(jīng)無用的DHCP Snooping動(dòng)態(tài)表項(xiàng)進(jìn)行定期進(jìn)行老化刪除，以節(jié)省系統(tǒng)的資源，和減少安全隱患，H3C低端以太網(wǎng)交換機(jī)支持根據(jù)客戶端IP地址的租約對(duì)DHCP Snooping表項(xiàng)進(jìn)行老化。具體實(shí)現(xiàn)過程為：當(dāng)DH

20、CP Snooping至少記錄了一條正式表項(xiàng)時(shí)，交換機(jī)會(huì)啟動(dòng)20秒的租約定時(shí)器，即每隔20秒輪詢一次DHCP Snooping表項(xiàng)，通過表項(xiàng)記錄的租約時(shí)間、系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值來判斷該表項(xiàng)是否已經(jīng)過期。若記錄的表項(xiàng)租約時(shí)間小于系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值，則說明該表項(xiàng)已經(jīng)過期，將刪除該條表項(xiàng)，從而實(shí)現(xiàn)DHCP Snooping動(dòng)態(tài)表項(xiàng)的老化。需要注意的是：DHCP Snooping表項(xiàng)的老化功能有一定的局限性，當(dāng)DHCP服務(wù)器端的租約設(shè)置為無限期或者很長時(shí)，會(huì)出現(xiàn)老化不及時(shí)的現(xiàn)象。DHCP Snooping信任端口功能DHCP Snooping的信任端口功能所提供的是對(duì)于DHC

21、P服務(wù)器信息來源的控制，此功能通過將不信任端口接收的DHCP響應(yīng)報(bào)文丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務(wù)器獲取IP地址。信任端口是與合法的 DHCP 服務(wù)器直接或間接連接的端口。信任端口對(duì)接收到的 DHCP 報(bào)文正常轉(zhuǎn)發(fā)，從而保證了 DHCP 客戶端獲取正確的 IP 地址。不信任端口是不與合法的 DHCP 服務(wù)器連接的端口。如果從不信任端口接收到 DHCP 服務(wù)器響應(yīng)的 DHCP-ACK 和 DHCP-OFFER 報(bào)文則會(huì)丟棄，從而防止了 DHCP 客戶端獲得錯(cuò)誤的 IP 地址。DHCP ClientDHCP SnoopingDHCP ServerUntrust PortTr

22、ust PortUntrust PortDHCPDHCP Server圖5 DHCP Snooping信任端口功能示意圖開啟DHCP Snooping功能后，交換機(jī)上的所有端口默認(rèn)被配置為非信任端口，此時(shí)從非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER報(bào)文都不會(huì)被交換機(jī)轉(zhuǎn)發(fā)、也不會(huì)上送CPU處理；當(dāng)某端口被配置為信任端口時(shí)，從該端口傳入的DHCP-ACK、DHCP-NAK及DHCP-OFFER報(bào)文將被鏡像至CPU處理。需要注意的是：目前H3C低端以太網(wǎng)交換機(jī)實(shí)現(xiàn)的DHCP Snooping功能是需要和DHCP Snooping信任端口功能配合使用的。啟動(dòng)DHCP Sn

23、ooping功能后，為了使DHCP客戶端能從合法的DHCP服務(wù)器獲取IP地址，必須將與合法DHCP服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個(gè)VLAN內(nèi)。ARP入侵檢測功能ARP入侵檢測功能工作機(jī)制為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP（請(qǐng)求與回應(yīng)）報(bào)文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。當(dāng) ARP 報(bào)文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項(xiàng)或者手工配置的 IP 靜態(tài)綁定表項(xiàng)匹配，且 ARP 報(bào)文的入端口及其所屬VLA

24、N 與 DHCP Snooping 表項(xiàng)或者手工配置的 IP 靜態(tài)綁定表項(xiàng)一致，則為合法 ARP 報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。當(dāng) ARP 報(bào)文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項(xiàng)或者手工配置的 IP 靜態(tài)綁定表項(xiàng)不匹配，或 ARP 報(bào)文的入端口，入端口所屬 VLAN 與 DHCP Snooping 表項(xiàng)或者手工配置的 IP 靜態(tài)綁定表項(xiàng)不一致，則為非法 ARP 報(bào)文，直接丟棄，并通過 Debug 打印出丟棄信息提示用戶。圖6 ARP入侵檢測功能示意圖手工配置IP靜態(tài)綁定表項(xiàng)DHCP Snooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如

25、果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會(huì)被DHCP Snooping 表記錄，因此不能通過基于DHCP Snooping表項(xiàng)的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報(bào)文。ARP信任端口設(shè)置由于實(shí)際組網(wǎng)中，交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文，這些ARP報(bào)文的源IP地址和源MAC地址并沒有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)

26、文能夠通過ARP入侵檢測問題，交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報(bào)文檢測功能。對(duì)于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測，對(duì)其它端口的ARP報(bào)文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測。IP過濾功能IP過濾功能是指交換機(jī)可以通過DHCP Snooping表項(xiàng)和手工配置的IP靜態(tài)綁定表，對(duì)非法IP報(bào)文進(jìn)行過濾的功能。在端口上開啟該功能后，交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報(bào)文以外的所有IP報(bào)文。（同時(shí)，需要考慮DHCP Snooping信任端口功能是否啟動(dòng)。如果沒有啟動(dòng)，則丟棄DHCP應(yīng)答報(bào)文，否則，允許DHCP應(yīng)答報(bào)文通過。）接著，下發(fā)ACL

27、規(guī)則，允許源IP地址為DHCP Snooping表項(xiàng)或已經(jīng)配置的IP靜態(tài)綁定表項(xiàng)中的IP 地址的報(bào)文通過。交換機(jī)對(duì)IP報(bào)文有兩種過濾方式：根據(jù)報(bào)文中的源 IP 地址進(jìn)行過濾。如果報(bào)文的源 IP 地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)與 DHCP Snooping 動(dòng)態(tài)表項(xiàng)或手工配置的 IP 靜態(tài)綁定表項(xiàng)一致， 則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過；否則認(rèn)為是非法報(bào)文，直接丟棄。根據(jù)報(bào)文中的源 IP 地址和源 MAC 地址進(jìn)行過濾。如果報(bào)文的源 IP 地址、源MAC 地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)，與 DHCP Snooping 動(dòng)態(tài)表項(xiàng)或手工配置的 IP 靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其

28、通過；否則認(rèn)為是非法報(bào)文，直接丟棄。DHCP報(bào)文限速功能為了防止DHCP報(bào)文泛洪攻擊，H3C低端以太網(wǎng)交換機(jī)支持配置端口上對(duì)DHCP報(bào)文的限速功能。開啟該功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的DHCP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的DHCP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到DHCP報(bào)文攻擊）。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免設(shè)備受到大量DHCP報(bào)文攻擊而癱瘓。同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了報(bào)文限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。DHCP Snooping與DHCP Relay安全機(jī)制比較表2 DHCP Snooping與DHCP Relay安全機(jī)制對(duì)照表特性DHCP RelayDHCP Snooping防 DHCP 服務(wù)欺騙攻擊通過“偽服務(wù)器檢測”功能在日志中