DHCP Snooping技术主要用于DHCP Server仿冒者攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击防范，以抵御网络中针对DHCP的各种攻击。

防止DHCP Server仿冒者攻击

如图1所示，DHCP Discover报文是以广播形式发送，无论是合法的DHCP Server，还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误IP地址、网关地址和DNS服务器的等信息。DHCP Client将无法获取正确的IP地址和相关信息，导致合法客户无法正常访问网络或信息安全受到严重威胁。

解决方法

为了防止DHCP Server仿冒者攻击，可配置设备接口的“信任（Trusted）/非信任（Untrusted）”工作模式。

将与合法DHCP服务器直接或间接连接的接口设置为信任接口，其他接口设置为非信任接口。此后，从“非信任（Untrusted）”接口上收到的DHCP回应报文将被直接丢弃，这样可以有效防止DHCP Server仿冒者的攻击。

配置命令

1. 执行命令system-view，进入系统视图。
2. 执行命令dhcp snooping enable [ ipv4 | ipv6 ]，全局使能DHCP Snooping功能。
3. 使能DHCP Snooping功能。
   a. 执行命令vlan vlan-id，进入VLAN视图；或执行命令interface interface-type interface-number，进入连接用户的接口视图。
   b. 执行命令dhcp snooping enable，使能接口或VLAN下的DHCP Snooping功能。
   说明：
   在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效；在接口下执行该命令，则对该接口下的所有DHCP报文命令功能生效。
4. 配置接口为“信任”状态

a. 执行命令interface interface-type interface-number，进入接口视图。

b. 执行命令dhcp snooping trusted，配置接口为“信任”接口。

说明：

缺省情况下，接口的状态为“非信任”状态。

防止DHCP报文泛洪攻击

在DHCP网络环境中，若攻击者短时间内向设备发送大量的DHCP报文，将会对设备的性能造成巨大的冲击，可能会导致设备无法正常工作。

解决方法

为了有效的防止DHCP报文泛洪攻击，在使能设备的DHCP Snooping功能时，可同时使能设备对DHCP报文上送DHCP报文处理单元的速率进行检测的功能。此后，设备将会检测DHCP报文的上送速率，并仅允许在规定速率内的报文上送至DHCP报文处理单元，而超过规定速率的报文将会被丢弃。

配置命令

1. 执行命令system-view，进入系统视图。
2. 配置限制DHCPv4报文的上送速率和告警功能。

配置限制DHCPv4报文的上送速率：

• 系统视图下：

a. 执行命令dhcp snooping check dhcp-rate enable，使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

b. 执行命令dhcp snooping check dhcp-rate rate，配置DHCP报文上送DHCP报文处理单元的最大允许速率。

• VLAN视图下或接口视图下：

a. 执行命令vlan vlan-id，进入VLAN视图；或执行命令interface interface-type interface-number，进入接口视图。

b. 执行命令dhcp snooping check dhcp-rate enable，使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

c. 执行命令dhcp snooping check dhcp-rate rate，配置DHCP报文上送DHCP报文处理单元的最大允许速率。

d. 执行命令quit，返回到系统视图。

配置告警功能：

• 系统视图下：

a. 执行命令dhcp snooping alarm dhcp-rate enable，使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

b. 执行命令dhcp snooping alarm dhcp-rate enable threshold，配置接口下被丢弃的DHCP报文的告警阈值。

• 接口视图下：

a. 执行命令interface interface-type interface-number，进入接口视图。

b. 执行命令dhcp snooping alarm dhcp-rate enable，使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

c. 执行命令dhcp snooping alarm dhcp-rate enable threshold，配置接口下被丢弃的DHCP报文的告警阈值。

d. 执行命令quit，返回到系统视图。

说明：

• 配置以上功能前，需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。
• 配置限制DHCP报文的上送速率时：

1. 在系统视图配置时，则对设备所有的接口有效；在接口视图配置时，则仅针对该接口有效；在VLAN视图配置时，则对属于该VLAN的所有接口有效。
2. 在系统视图、VLAN视图、接口视图同时配置最大允许的上送速率时，则以三者中的最小值为准。

• 配置告警功能时：

1. 在系统视图配置时，则对设备所有的接口有效；在接口视图配置时，则仅针对该接口有效。
2. 在系统视图、接口视图下同时配置告警阈值时，则以两者最小值为准。

防止仿冒DHCP报文攻击

已获取到IP地址的合法用户通过向服务器发送DHCP Request或DHCP Release报文用以续租或释放IP地址。

如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址，会导致这些到期的IP地址无法正常回收，以致一些合法用户不能获得IP地址；而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server，将会导致用户异常下线。

解决方法

为了有效的防止仿冒DHCP报文攻击，可利用DHCP Snooping绑定表的功能。设备通过将DHCP Request续租报文和DHCP Release报文与绑定表进行匹配操作能够有效的判别报文是否合法（主要是检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表），若匹配成功则转发该报文，匹配不成功则丢弃。

配置命令

1. 开启对DHCP报文进行绑定表匹配检查的功能

1. 执行命令system-view，进入系统视图。
2. 执行命令vlan vlan-id，进入VLAN视图；
   或执行命令interface interface-type interface-number，进入接口视图。
3. 执行命令dhcp snooping check dhcp-request enable，开启对DHCP报文进行绑定表匹配检查的功能。
4. 执行命令dhcp snooping check dhcp-chaddr enable，开启检测DHCPRequest报文帧头源MAC地址与CHADDR字段是否相同的功能。

说明：

在VLAN视图下执行以下命令，对属于该VLAN的所有接口都生效；在接口下执行该命令，仅对该接口生效。

2. （可选）开启DHCP Snooping告警功能

1. 执行命令system-view，进入系统视图。
2. 执行命令interface interface-type interface-number，进入接口视图。
3. 执行命令dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } enable，开启DHCPSnooping告警功能。

3. （可选）配置告警阈值

若在系统视图、接口视图下同时进行了配置，则接口下DHCP Snooping丢弃报文数量的告警阈值以两者最小值为准。

• 系统视图下：

1. 执行命令system-view，进入系统视图。
2. 执行命令dhcp snooping alarm threshold threshold，配置DHCPSnooping丢弃报文数量的告警阈值。

• 接口视图下：

1. 执行命令system-view，进入系统视图。
2. 执行命令interface interface-type interface-number，进入接口视图。
3. 执行命令dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } threshold threshold，配置DHCP Snooping丢弃报文数量的告警阈值。

说明：

在系统视图下执行该命令，则对设备所有的接口该命令功能生效。

缺省情况下，全局DHCP Snooping丢弃报文数量的告警阈值为100packets，接口下DHCP Snooping丢弃报文数量的告警阈值为在系统视图下使用命令dhcp snooping alarm threshold配置的值。

防止DHCP Server服务拒绝攻击

如图4所示，若设备接口if1下存在大量攻击者恶意申请IP地址，会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。

另一方面，DHCP Server通常仅根据DHCP Request报文中的CHADDR（Client Hardware Address）字段来确认客户端的MAC地址。如果某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址，同样将会导致DHCP Server上的地址池被耗尽，从而无法为其他正常用户提供IP地址。

说明：

chaddr (client hardware address)：表示客户端的MAC地址，此字段与其前面的“hardware type”和“hardware length”保持一致。当客户端发出DHCP请求时，将自己的硬件地址填入此字段。

解决方法

为了抑制大量DHCP用户恶意申请IP地址，在使能设备的DHCP Snooping功能后，可配置设备或接口允许接入的最大DHCP用户数，当接入的用户数达到该值时，则不再允许任何用户通过此设备或接口成功申请到IP地址。

而对通过改变DHCP Request报文中的CHADDR字段方式的攻击，可使能设备检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能，此后设备将检查上送的DHCP Request报文中的帧头MAC地址是否与CHADDR值相等，相等则转发，否则丢弃。

配置命令

1. 执行命令system-view，进入系统视图。

2. 配置接口允许学习的DHCP Snooping绑定表项的最大个数，可在系统视图、VLAN视图或接口视图下配置。

· 系统视图下：

1. 执行命令dhcp snooping max-user-number max-user-number vlan { vlan-id1[ to vlan-id2 ] } &<1-10>，配置设备允许学习的DHCP Snooping绑定表项的最大个数。
2. 执行该命令后，设备所有的接口允许学习的DHCP Snooping绑定表项之和为该命令所配置的值。
3. （可选）执行命令dhcp snooping user-alarm percentage percent-lower-valuepercent-upper-value，配置DHCP Snooping绑定表的告警阈值百分比。

• VLAN视图或接口视图下：

1. 执行命令vlan vlan-id，进入VLAN视图；或执行命令interface interface-type interface-number，进入接口视图。
2. 执行命令dhcp snooping max-user-number max-user-number ，配置接口允许学习的DHCP Snooping绑定表项的最大个数。

3. 使能对报文的CHADDR字段进行检查功能，可在系统视图、VLAN视图或接口视图下进行配置。

• 系统视图下：

1. 执行命令dhcp snooping check dhcp-chaddr enable vlan { vlan-id1[ to vlan-id2 ] } &<1-10>，使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能。
2. （可选）执行命令dhcp snooping alarm threshold threshold，配置全局DHCP Snooping丢弃报文数量的告警阈值。

• VLAN视图或接口视图下：

1. 执行命令vlan vlan-id，进入VLAN视图；或执行命令interface interface-type interface-number，进入接口视图。
2. 执行命令dhcp snooping check dhcp-chaddr enable，使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能。
3. （可选）执行命令dhcp snooping alarm dhcp-chaddr threshold threshold，配置帧头MAC地址与DHCP数据区中CHADDR字段不匹配而被丢弃的DHCP报文的告警阈值。

说明：

在系统视图下执行该命令，则设备所有的接口该命令功能生效。

缺省情况下，全局DHCP Snooping丢弃报文数量的告警阈值为100packets，接口下DHCP Snooping丢弃报文数量的告警阈值为在系统视图下使用命令dhcp snooping alarm threshold配置的值。

若在系统视图、接口视图下同时进行了配置，则接口下DHCP Snooping丢弃报文数量的告警阈值以两者最小值为准。