【DHCP】HCIE面试真题总结

DHCP snooping 有哪些功能？

当攻击者私自安装并运行 DHCP Server 程序后，可以将自己伪装成DHCP Server，这就是仿冒 DHCP Server。它的工作原理与正常的 DHCP Server 一模一样，所以当PC机接收到来自 DHCP Server的DHCP报文时，无法区分是哪个DHCP Server发送过来的，如果PC机第一个接收到的是来自仿冒DHCP Server发送的 DHCP 报文，那么仿冒 DHCP Server 则会给 PC 机分配错误的 IP 地址参数，导致 PC 客户端无法访问网络。

DHCP snooping 配置在什么地方? 仿冒服务器攻击怎么攻击的？有什么方法防止？应该怎么配置？默认情况为信任端口还是非信任端口？

• 配置 DHCP-Snooping，监听 DHCP 报文，连接合法 DHCP 服务器的为信任端口改端口收到 Offer 报文和 ACK 报文正常转发
• 接服务器的端口配置可信端口，接非服务器的配置不可信端口
• 默认是非信任端口

拒绝服务攻击又怎么攻击的？会导致什么结果？什么叫拒绝服务攻击？怎么防止？在什么地方配置？

• DOS 是攻击者持续大量地向 DHCP 服务器申请 IP 地址，直到耗尽 DHCP 服务器地址池的 IP 地址。
• 使 DHCP 服务器无法再给正常的主机分配 IP 地址。
• 配置 DHCP Snooping 技术，对 DHCP Request 报文的源 MAC 地址与 CHADDR 的字段进行检查，如果一致则转发报文，如果不一致则丢弃报文。配置命令为，进入连接客户端接口视图，输入命令 dhcp snooping check dhcp-chaddr enable

DHCP 报文攻击是怎么回事？导致什么结果？怎么防止？

DHCP 中间人攻击从原理上我们可以知道它其实是一种 Snoofing IP/MAC攻击（ARP 欺骗），所以要防止 DHCP 中间人攻击，就是要防止 ARP 欺骗 使用 DAI 技术防止

从信任接口收到的报文会不会检测？ 在现网中，DHCP snooping 应该在哪些设备上配置？哪些端口配置为信任端口？哪些端口配置为非信任端口？为什么？

• 从信任端口收到的 ARP 报文也会检测
• 现网中一般配置在交换机上
• 交换机接服务器的端口，或者朝向服务器的端口配置为信任端口
• 接入非服务器的端口配置为非信任端口

信任端口收到的报文会不会检测？

信任端口可以正常接收并转发 DHCP Offer 报文，而不信任端口会将接 收到的 DHCP Offer 报文丢弃。这样，可以完成交换机对假冒 DHCP Server 的屏 蔽作用，确保客户端从合法的 DHCP Server 获取 IP 地址；

DAI 和 IPSG 什么意思？有什么功能?

DAI：Dynamic ARP Inspection 根据客户端发出来的 ARP 报文，检查ARP报文中 Sender IP 和sender MAC是否和 DHCP Snooping 表项中记录的 IP和 MAC 是否一致，如果不一致检查失败，丢弃该 ARP 报文。如果合法则转发。可以避免 ARP 的 DOS 攻击和 ARP 欺骗。

IPSG：针对网络中经常存在对源 IP 地址进行欺骗的攻击行为，攻击者仿冒合法用户的 IP 地址来向服务器发送IP报文，我们可以使用 IPSG 技术来防范这种攻击。在交换机使用 IPSG 功能后，会对进入交换机端口的报文进行合法性的检查，然后对报文进行过滤，检查合法则转发，检查非法则丢弃。