Zasada działania DHCP snooping
Funkcjonalność DHCP snooping ma na celu przypisanie do konkretnego portu na routerze zaufanego serwera DHCP, dzięki temu podłączenie ,,feralnego” serwera na jakimś innym porcie będzie utrudnione. Warto również wspomnieć o jeszcze jednej ważnej funkcji, która umożliwi ograniczenie liczby możliwych do wysłania z innych portów komunikatów, chodzi o żądania DHCP Discover, wykonanie ataku będzie niemożliwie. Funkcjonalność DHCP Snooping jest oferowana przez producenta CISCO.
Jeśli chcesz obejrzeć instrukcję video – kliknij 🙂
Topologia wykorzystana w konfiguracji DHCP Snooping
Powyższa topologia składa się z:
- routera R1
- dwóch stacji roboczych PC2, PC3
- serwera DHCP Server1
Zadania do wykonania:
- Skonfigurowanie adresacji IP na wszystkich urządzeniach
- Ustawienie zakresu puli na serwerze DHCP Server1
- Ustawienie dynamicznego przydzielania adresu na stacjach roboczych PC2, PC3
- Dodanie do topologii kolejnego serwera DHCP – posłuży do weryfikacji funkcjonalności DHCP Snooping
Konfiguracja:
R1
Router>en Router#conf t Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 10.0.0.1 255.0.0.0 Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exit Router(config)#interface fastEthernet 0/1 Router(config-if)#ip address 20.0.0.1 255.0.0.0 Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip helper-address 20.0.0.10 Router(config-if)#exit
Server1
Topologia po dodaniu serwera DHCP ,,atakującego”
Konfiguracja Server2 ,,atakującego”:
PC3:
SW1:
Switch>en Switch#configure terminal Switch(config)#ip dhcp snooping Switch(config)#interface fastEthernet 0/1 Switch(config-if)#ip dhcp snooping trust Switch(config-if)#exit
PC3
SW1:
Switch>en Switch#conf t Switch(config)#interface range fastEthernet 0/2-4 Switch(config-if-range)#ip dhcp snooping limit rate 10