DHCP 中继:用于DHCP server与client不同一个网段时,协助Server与CLient进行
DHCP通信
中继过程
1,Client发送DHCP 数据包,中继在收到后将DHCP 数据封装进IP单播
数据包,同时加上DHCP中继IP地址,发送给DHCPServer
2,DHCP server在收到数据包查看发现为DHCP数据,根据中继IP地址为具体地址
则判断改数据包是中继发送过来。则将DHCP 数据包封装进单播中发送给
中继(注意:目的IP地址为中继IP地址)
3,中继在收到DHCP Server数据包后,将单播头部去掉,将中继IP地址
清除,将DHCP数据包发送给Client
DHCP 饿死攻击:发送大量DHCP请求将Server地址池耗尽,使得Server无法为合法主机
系统IP地址
冒充DHCP Server:充当DHCP server向网络中提供IP地址,使合法主机学习到错误的
IP地址
DHCP snooping:在交换机开启侦听DHCP通信数据包
防止冒充DHCP:在开启后所有端口都成为untrust端口,只接受trust端口offer信息
只将 DIscover数据包发送trust 端口
防止饿死攻击:1,核对DHCP数据包是否合法,例如Request数据包中源MAC与DHCP中
ClientMAC地址是否一致,一致则放行通过,反之丢弃;限制DHCP 请求速度
中间人攻击:收到ARP消息后,攻击者将自己MAC地址回复在ARP请求设备,使得
请求者生成错误IP与MAC绑定关系,后续数据发送给攻击者。
