Snooping简而言之,就是用来侦听端口对于来自客户端的伪装DCHP Server的防护手段。
对于来自DHCP Server 地址池耗尽攻击和DHCP的服务器假冒攻击来说,ip-dhcp-Snooping这条命令可以在一定程度上来解决或者防护了。
首先在命令上来说 ip(Internet Protocol)当然是IP地址咯dhcp(dynamichost Configuration Protocol),动态主机配置协议的缩写,Snooping释义为:侦听(和本意窥探还是有区的)。
这里主要解释一下命令的用发和功能(包括一些简单的举例)
ip dhcp snooping
功能:开启之后将会监听非信任端口上的所有DCHP Server 包。
如:
switch(config)#ip dhcp snooping enable
ip dhcp snooping action
功能:设置端口上自防御动作。必须在全局模式下开启 DHCP snooping, 才能配置此命令。 信任端口不会检测 DHCP Server伪装,所以永远不会触发相应配置的防御动作。当端口从非信任端口变更为信任端口时,端口上原来的防御动作将自动失效。
此命令还有一些参数:
作用是在检测到端口有伪装DHCP Snooping时,关闭、阻塞,相应端口。
recovery 可以配置shutdown之后端口自启动。参数为 范围在<10-3600> 单位:秒。
如:
switch(config)#interface ethernet 1/0/1
switch(Config- Ethernet 1/0/1)#ip dhcp snooping action blackhole recovery 10
ip dhcp snooping action MaxNum
功能:配置端口中生效的防御数目,范围:10-200 default 10
此命令是为了防止交换机被攻击而耗尽系统资源。如果报警信
息的数目大于了设置的值,那么最早的防御动作将被强行恢复(最开始的防御动作将不再生效),并下发新的防御动作。
如:
switch(config)#ip dhcp snooping action 10
ip dhcp snooping binding
功能:开启后将记录所有信任端口的 DHCP Server 分配的绑定信息。
注:此功能工作在 ip dhcp snooping 开启之后。
如:
switch(config)#ip dhcp snooping binding enable
ip dhcp snooping binding arp
功能:ARP绑定
开启后 DHCP snooping 将根据绑定信息添加绑定 ARP 表项, 只有启动绑定功能
之后才能启动绑定 ARP 功能。绑定 ARP 表项为静态表项,但是没有配置保留,直接添加到
NEIGHBOUR 表中。绑定 ARP 表项优先级低于管理员配置的静态 ARP 表项,可以被静态
ARP 表项覆盖;但是当静态 ARP 表项被删除之后,绑定 ARP 表项不能恢复,直到 DHCP
snooping 重新捕获到绑定信息。 添加绑定 ARP 表项是为了防止这些表项被 ARP 欺骗行为攻
击, 同时这些静态表项无需重认证, 可以避免交换机受到 ARP 扫描攻击时重认证 ARP 失败。
注:此命令工作在ip DHCP Snooping binding开启之后。
如:
switch(config)#ip dhcp snooping binding arp
ip dhcp snooping binding dot1x
功能:802.1x绑定
开启后 DHCP snooping 将把捕获的绑定信息通知到 DOT1X 模块,作为 DOT1X受控用户。
注:这个命令和 ip dhcp snooping binding user-control 命令互斥并且此命令工作在ip DHCP snooping binding开启之后,ip DHCP snooping binding开启才能配置绑定 DOT1X 功能。
如:
switch(config)#interface ethernet 1/0/1
switch(Config- Ethernet 1/0/1)# ip dhcp snooping binding dot1x
ip dhcp snooping binding user
功能:静态用户的绑定
: 静态绑定用户(由管理者自己添加)和 DHCP snooping 捕获的动态绑定用户(动态用户是交换机自己学习到的,)一样处理, 可以通知 DOT1X(802.1x)作为 DOT1X 的受控用户,可以直接添加信任用户表项,可以添加绑定 ARP 表项。静态绑定用户永远不会被老化, 并且优先级大于动态绑定用户。 只有启动 DHCP snooping 绑定功能之后,才能配置静态绑定用户。
参数:
:静态绑定用户的 MAC 地址,MAC 地址是绑定用户的唯一索引值;
:静态绑定用户的 IP 地址;
:静态绑定用户的所属 VLAN ID;
:静态绑定用户的接入端口。
如:
switch(config)#ip dhcp snooping binding user 00-03-0f-12-34-56 address 192.168.1.16 interface
Ethernet 1/0/16
ip dhcp snooping binding user-control max-user
功能:配置端口最多可接入的用户数量
参数:
:用户数量
如:
Switch(Config-If-Ethernet1/0/1)#ip dhcp snooping binding user-control max-user 5
一些简单的配置如上所述,我们配置完成之后想要查看我们的配置是否成功,我们可以用以下命令查看
show ip dhcp snooping
执行命令 show ip dhcp snooping 之后,会显示当前配置。当然,我们还可以在命令之后增加参数:[interface [ethernet] ] 此参数可以确定到端口的ip dhcp snooping 的状态。
当我们看到状态之后,看不懂怎么破,
显示信息 信息解释
DHCP Snooping is enable DHCP Snooping 全局开启或关闭状态。
DHCP Snooping binding arp 是否启动绑定 ARP 功能。
DHCP Snooping maxnum ofaction info 端口防御动作数量限制。
DHCP Snooping limit rate 收包速率限制。
switch ID 交换机 ID 用户标记交换机,一般直接取 CPU MAC 地 址。
DHCP Snooping droped packets 因为接收到的DHCP报文超越限速而丢弃的报文数量。
因为系统内部任务之间通讯失败而丢弃报文数量,出 现这种丢包现象很可能是因为交换机 CPU 太忙碌 discarded packets DHCPsnooping 任务得不到调度而无法处接收到的 DHCP 报文。
DHCP Snooping alarm count 报警信息数量。
binding count 绑定信息数量。
已经超时暂时还没有被删除的绑定信息数量,没有即 删除超时绑定信息可能是因为交换机需要向 helper expired binding server 通告这些信息,而 helper server 暂时还没有 确认收到。
request binding REQUEST 信息数量。
interface 端口名称。
以上的内容是本人自己学习时的一些见解,当然有一些内容是来自于书本的(做过修改的),并不全是我个人的见解。
