DHCP snooping - функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.

На странице (http://xgu.ru/wiki/DHCP_snooping) подробно описывается принцип действия метода DHCP snooping, а также процедура настройки коммутаторов HP ProCurve и Cisco для использования этого метода.

URL: http://xgu.ru/wiki/DHCP_snooping
Новость: http://www.opennet.me/opennews/art.shtml?num=19188

• Защита от атак против DHCP,Аноним, 14:37 , 02-Дек-08
• Защита от атак против DHCP,Dyr, 19:08 , 02-Дек-08
  • Защита от атак против DHCP,xguru, 00:20 , 03-Дек-08
    • Защита от атак против DHCP,xguru, 00:22 , 03-Дек-08
• Защита от атак против DHCP,Arti, 14:08 , 03-Дек-08
  • Защита от атак против DHCP,xguru, 15:08 , 03-Дек-08
    • Защита от атак против DHCP,Arti, 15:48 , 03-Дек-08
      • Защита от атак против DHCP,xguru, 19:51 , 03-Дек-08
        • Защита от атак против DHCP,Arti, 11:25 , 04-Дек-08
• Защита от атак против DHCP,pavlinux, 21:50 , 03-Дек-08
  • Защита от атак против DHCP,xguru, 00:55 , 04-Дек-08

респект автору.

Там несколько автором, вики же. Даже я там приложился =)

В этой вроде нет:

http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&acti...
http://xgu.ru/w/index.php?title=%D0%A1%D0...

Но вообще да, спасибо большое, особенно за SSH.

Если делаете большой вклад в страничку,
если что, не стесняйтесь ставить себя автором.

>В этой вроде нет:
>
>http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&acti...
>http://xgu.ru/w/index.php?title=%D0%A1%D0...
>
>Но вообще да, спасибо большое, особенно за SSH.
>
>Если делаете большой вклад в страничку,
>если что, не стесняйтесь ставить себя автором.

За ARP-spoofing тоже, кстати.

Невнимательно посмотрел.

Честно говоря я не понял преимущества  DHCP snooping, по карайней мере в этой статье они не раскрыты (неудачный пример топологии ?).

Проще тогда запретить при помощи ACL работу DHCP-серверов на клиентских портах, а запросы DHCP релеить в отдельный vlan например в "управленческий".

ACL'ами всю логику DHCP-snooping'а будет прописать довольно сложно.

Например, как прописать такое:

Отбросить пакет, если он пришёл через ненадёжный (untrusted) порт,
если он содержит сообщение DHCPRELEASE или DHCPDECLINE с MAC-адресом из базы данных привязки DHCP, но информация об интерфейсе в таблице не совпадает с интерфейсом, на котором был получен пакет?

То есть, грубо говоря, адрес мы выдали одному,
а отказывается от него другой через другой порт.
Как это запретить ACLами?

Привязывать к MAC идея изначально плохая, хотя возможно и есть случаи когда это делать необходимо.

Привязку луше делать через поля 82-й опци DHCP.

Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.

Вот строить ACL на основании DHCP-relay или привязывать MAC к порту - это более на мой взгляд интересно, правда оговорюсь, говорить об этом без конкретной схемы сети бесполезно.

> Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.

Я не совсем понял, вы предлагаете вообще MAC-адреса не использовать при выдаче IP-адресов
DHCP-сервером, а ориентироваться только на порт коммутатора?

Если политика один "порт - один адрес" то да, привязывать к MAC смысла я не вижу.

Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который смотрит интернет???

>Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который
>смотрит интернет???

А где там инет?