DHCP Snooping(DHCP 监听/审查)是一种二层交换机上的安全功能,用来监控并过滤 DHCP 报文,建立“可信端口/不可信端口”机制,从而阻止伪造的 DHCP 服务器(Rogue DHCP)或相关攻击(如通过假网关信息进行劫持),并常与 IP Source Guard、Dynamic ARP Inspection 等联动使用。该术语也常用于指代由此产生的 DHCP Snooping binding table(绑定表)。
/ˌdiː eɪtʃ siː ˈpiː ˈsnuːpɪŋ/
“DHCP”是 Dynamic Host Configuration Protocol(动态主机配置协议) 的缩写;“snooping”原意是“窥探、监听”。在网络语境中,它引申为对经过设备的报文进行检查与记录。合起来表示:交换机对 DHCP 流量进行“监听/审查”,以实现安全控制。
DHCP snooping blocks rogue DHCP servers on the access switch.
DHCP snooping 会在接入交换机上阻止伪造的 DHCP 服务器。
After enabling DHCP snooping, the switch builds a binding table that can be used by Dynamic ARP Inspection to prevent man-in-the-middle attacks.
启用 DHCP snooping 后,交换机会建立绑定表,Dynamic ARP Inspection 可利用该表来防止中间人攻击。
Select Language