dhcp snooping در سیسکو

DHCP Snooping در سیسکو

سرور هایی که به صورت ناخواسته در شبکه شما راه اندازی می شود و باعث مختل شدن شبکه می شود

در سوئیچ های سیسکو قابلیتی به عنوان dhcp snooping برای جلوگیری از عملکرد dhcp سرور های غیر مجاز یا rogue در شبکه در سوئیچ های از این قابلیت  استفاده می کنیم

بعد از فعال سازی dhcp snooping یک جدول یا table ایجاد می کند که به dhcp snooping table یا dhcp binding database معروف است

سوئیچ از این جدول برای شناسایی و فیلتر کردن پیام های untrust و برای شناسایی dhcp سرور های مجاز و قابل اعتماد یا غیر اعتماد استفاده می کند

به این صورت کار می کند که اگر مک ادرس مبدا ثبت نشده باشد سوئیچ ان پیام را مسدود می کند

dhcp snooping در سوئیچ های سیسکو باعث می شود که سوئیج از dhcp اصلی ایپی را به سیستم مربوطه عبور دهد

در واقع dhcp snooping باعث می شود که فقط از dhcp server اصلی ایپی بگیرد

اگر روی سوئیچ dhcp snooping فعال باشد می توان پاسخ DHCP responses را دریافت کرد

اگر یک درگاه سوئیچ غیرقابل اعتماد باشد مجاز به دریافت DHCP نخواهید بود

dhcpsnooping در سیسکو
dhcpsnooping در سیسکو

DHCP snooping دستورات

برای فعال سازی dhcp snoopig از دستور زیر استفاده می کنیم

Switch1(config)#ip dhcp snooping

اگر بخواهیم روی یک ویلن انجام بدیم از دستور زیر استفاده می کنیم

Switch1(config)#ip dhcp snooping vlan 10-15

DHCP snooping را برای vlan های ۱۰ تا ۱۵ فعال می کند.

پیکر بندی پورت DHCP-Server در DHCP snooping:

، ما باید برخی از پورت های سوئیچ را که به DHCP-Server متصل هستن به صورت Trust پیکربندی کنیم

Switch1(config)#interface fa 0/5

Switch1(config-if)#ip dhcp snooping trust


تنظیم محدودیت های پیام های DHCP روی پورتهای سوییچ

برای جلوگیری از حمله DoS به سرور DHCP

برای تعیین حد مجاز پیام های DHCP در یک پورت به پنج پیام در هر ثانیه از این دستور استفاده می کنیم:

Switch1(config)#interface fa 0/2

Switch1(config-if)#ip dhcp snooping limit rate 5


نکته امنیتی :سرویس DHCP خود را Authorized و خطرات DHCP snoop را مد نظر داشته باشید .بر فرآیند dns dynamic update از طریق dns update proxy نظارت کنید.


دو نوع Attack که در شبکه های Lan استفاده میشن یا میشدند

– DHCP Snooping

– DHCP Starvation

– ARP Spoofing

– Dynamic ARP Inspection (DAI)

مطلب پیشنهادی

SFP چیست و تفاوت با +SFP وQSFP

SFP چیست و تفاوت با +SFP وQSFP

SFP چیست و تفاوت با +SFP وQSFP SFP  و SFP + یا QSFP  گیرنده هایی …

4 دیدگاه

  1. آیا وجود یک DHCP سرور میتونه یک حمله حساب بشه؟چگونه؟ما برای جلوگیری از حمله چیکار میتونیم بکنیم؟

    • دی اچ سی پی سرور خیلی ربطی به حمله نداره. یکسری حملات روی dhcp انجام میشه و امکانش هست که از کارکرد dhcp سواستفاده کرد. اما درکل dhcp ربطی به حمله نداره.

  2. در کلاس امنیت یک تمرین عملی دارم که باید در مورد dns و dhcp و arp باید در مورد هر کدوم حملات spoofing و snooping را طراحی کنم می تونین کمک کنید

    • یه شبکه کوچیک داخلش راه اندازی کنید
      بعدم یه کلاینت اتکر اضافه کنید و حملات رو باهاش انجام بدید

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد.