▪️ 👩 🛴 什么是DHCP侦听，它如何工作？ 👩🏼‍⚕️ 💅 🕴🏽

“即使我的笔记本电脑动态接收到IP地址，为什么我也无法连接到网络？” 您在日常生活中遇到过这个问题吗？您是否怀疑IP地址的真实性？它们是从授权的DHCP服务器收到的吗？如果没有，该如何预防？本文将引入DHCP侦听一词，以帮助用户避免使用非法IP地址。

什么是DHCP监听？

DHCP侦听是运行状况良好的网络交换机的操作系统中内置的第2层安全技术，可丢弃认为不适当的DHCP通信。DHCP侦听可防止未经授权（欺诈）的DHCP服务器向DHCP客户端提供IP地址。DHCP侦听功能执行以下操作：

要了解DHCP侦听的工作方式，我们需要捕获有效的DHCP机制，该机制代表动态主机配置协议。启用DHCP时，没有IP地址的网络设备将通过以下四个阶段与DHCP服务器“交互”。

DHCP Principle.jpg

DHCP侦听通常将交换机上的接口分为两类：受信任的不受信任端口，如图2所示。受信任端口是DHCP服务器消息受信任的端口或源。不受信任的端口是不信任DHCP服务器消息的端口。如果触发了DHCP监听，则DHCP提议消息只能通过受信任的端口发送。否则，它将被丢弃。

DHCP侦听app.jpg

在确认阶段，将根据DHCP ACK消息创建DHCP绑定表。它记录主机的MAC地址，租用的IP地址，租用的时间，绑定类型以及与主机相关联的VLAN号和接口信息，如图3所示。如果从不受信任的主机接收到的后续DHCP数据包不匹配，信息，它将被删除。

当攻击者尝试响应DHCP请求并尝试将自己（欺骗）指定为默认网关或DNS服务器时，就会发生DHCP欺骗，从而通过中介发起攻击。同时，他们有可能在转发到真实网关或执行DoS之前拦截来自用户的流量，从而使真实的DHCP服务器充满了阻塞IP地址资源的请求。

DHCP资源耗竭通常以网络DHCP服务器为目标，以便使用伪造的源MAC地址用DHCP REQUEST消息填充授权的DHCP服务器。DHCP服务器将通过分配可用的IP地址来响应所有请求，而不知道这是DHCP耗尽攻击，这将导致DHCP池耗尽。

DHCP侦听仅适用于有线用户。作为访问级别的安全功能，它主要在包含DHCP服务的VLAN访问端口的任何交换机上启用。部署DHCP侦听时，必须在要保护的VLAN中启用DHCP侦听之前，配置可信端口（有效的DHCP服务器消息将通过的端口）。这可以在CLI界面和Web界面中实现。

尽管DHCP简化了IP寻址，但它也引起了安全问题。要解决此问题，DHCP侦听（一种保护机制）可以防止欺诈性DHCP服务器使用不受信任的DHCP地址，并可以防止尝试使用所有现有DHCP地址的资源耗尽攻击。