DHCP spooping非法获取地址设置原理

一、DHCP概述

DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就

可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动

安装，还需要管理员手动安装并进行必要的配置。

二、DHCP报文

• DHCP Discover报文 ---------------客户端发送的请求报文-广播方式
• DHCP Offer 报文----------------------服务器对客户端的回应报文-以单播方式或者广播方式。DHCP offer报文
  
  包括（IP 地址，掩码 ，网关，DNS等。）
• DHCP Request报文--------------------客户端发给服务器的请求报文，单播方式或者广播，完成功能DHCP服务器
  
  的选择以及租期更新。
• DHCP Release报文---------------------客户端发给服务器的，想要释放IP或者取消租期，单播方式。
  
  DHCP AcK/NaK------------------------确认报文，AcK正确，NcK错误
  
  三、DHCP Snooping功能简介：
  
  DHCP Snooping：意为DHCP 窥探，在一次PC动态获取IP地址的过程中，通过对Client和服务器之间的DHCP交互报文进行
  
  窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤，
  
  防止用户端获取到非法DHCP服务器提供的地址而无法上网。
  
  下边对DHCP Snooping 内使用到的一些术语及功能进行解释：****

1. DHCP 请求报文：DHCP 客户端发往DHCP 服务器的报文。
2. DHCP 应答报文：DHCP 服务器发往DHCP 客户端的报文。
3. DHCP Snooping TRUST 口：由于DHCP 获取IP 的交互报文是使用广播的形式，从而存在着非法的DHCP 服务影响用户
   
   正常IP 的获取，更有甚者通过非法的DHCP 服务欺骗窃取用户信息的现象，为了防止非法的DHCP 服务的问题，DHCP Snooping
   
   把端口分为两种类型，TRUST 口UNTRUST 口，设备只转发TRUST 口收到的DHCP 应答报文，而丢弃所有来自UNTRUST 口
   
   的DHCP 应答报文，这样我们把合法的DHCP Server 连接的端口设置为TRUST 口，则其他口为UNTRUST 口，就可以实现对
   
   非法DHCP Server 的屏蔽。
4. DHCP Snooping 报文过滤：在对个别用户禁用DHCP 报文的情况下，需要评估用户设备发出的任何DHCP 报文，那么我
   
   们可以在端口模式下配置DHCP 报文过滤功能，过滤掉该端口收到的所有DHCP 报文。
5. DHCP Snooping 绑定数据库：在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题，用户随意设置的IP
   
   地址不但使网络难以维护，而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络，DHCP Snooping
   
   通过窥探Client 和Server 之间交互的报文，把用户获取到的IP 信息以及用户MAC、VID、PORT、租约时间等信息组成用户
   
   记录表项，从而形成DHCP Snooping 的用户数据库，配合ARP 检测功能或ARP CHECK功能的使用，进而达到控制用户合法使
   
   用IP 地址的目的。
   
   ** 四、DHCP snooping 阻断的报文**
   
   IP DHCP Snooping
   
   在 DHCPOffer 报文 服务器回应客户端的报文进行拦截，
   
   
   
   DHCP Snooping 把端口分为两种类型，TRUST 口UNTRUST 口，设备只转发TRUST 口收到的DHCP 应答报文，而丢弃所有来
   
   自UNTRUST 口的DHCP 应答报文