1. DHCP Snooping技术背景与原理在企业的局域网环境中DHCP服务就像是一个自动分配IP地址的房产中介。正常情况下它负责给新接入网络的设备分配IP、子网掩码、网关等关键参数。但问题在于这个中介系统本身存在设计缺陷——它不会验证服务提供者的身份。这就好比你在租房时随便一个自称中介的人给你钥匙你都会接受这显然存在巨大风险。DHCP欺骗攻击就是利用这个漏洞。攻击者会在网络中部署一台非法DHCP服务器抢先给客户端分配错误的网络参数。我遇到过最典型的案例是攻击者将网关指向自己搭建的假冒路由器所有用户流量都会经过这个中间人导致数据被监听或篡改。更隐蔽的做法是修改DNS服务器地址将正常网站解析到钓鱼页面。DHCP Snooping技术本质上是一套身份验证机制它通过两个核心功能解决这个问题信任端口Trusted Port只允许经过管理员认证的端口传输DHCP响应报文通常连接合法DHCP服务器的端口会被标记为信任端口监听绑定表Binding Table自动记录客户端MAC、分配IP、租期等信息的数据库用于后续的流量验证实际部署时交换机会像安检员一样检查所有DHCP报文。当检测到非信任端口试图发送DHCP Offer或ACK响应时会立即丢弃该报文并生成告警。我在某次渗透测试中尝试攻击未启用Snooping的网络不到5分钟就成功让所有客户端连接到了伪造网关而部署Snooping后同样的攻击手段完全失效。2. 实验环境搭建与基础配置在华为eNSP模拟器中搭建实验环境就像玩网络版的乐高。我们需要组装三个关键组件一台合法DHCP服务器R1、一台攻击者控制的非法服务器R2、以及运行DHCP Snooping的核心交换机LSW1。建议先按下图连接设备[R1]GE0/0/0 ---- [LSW1]GE0/0/1 [R2]GE0/0/0 ---- [LSW1]GE0/0/2 [PC1] ---- [LSW1]GE0/0/3 [PC2] ---- [LSW1]GE0/0/4合法DHCP服务器配置要点[R1]dhcp enable # 全局使能DHCP服务 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.10.254 24 # 服务接口地址 [R1-GigabitEthernet0/0/0]dhcp select global # 采用全局地址池模式 [R1]ip pool vlan10 [R1-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0 [R1-ip-pool-vlan10]gateway-list 192.168.10.254 # 关键必须与接口IP一致 [R1-ip-pool-vlan10]dns-list 8.8.8.8 # 使用Google DNS便于测试验证非法DHCP服务器配置陷阱[R2]ip pool vlan20 [R2-ip-pool-vlan20]network 192.168.20.0 mask 255.255.255.0 [R2-ip-pool-vlan20]gateway-list 192.168.20.253 # 故意设置错误网关 [R2-ip-pool-vlan20]dns-list 1.1.1.1 # 非常用DNS增加隐蔽性这里有个新手容易踩的坑如果两台DHCP服务器使用相同网段客户端可能会随机获取到其中一个配置。建议像上面这样采用不同网段192.168.10.0/24和192.168.20.0/24这样在测试阶段可以通过获取的IP地址直观判断请求被哪台服务器响应。3. DHCP Snooping详细配置步骤在核心交换机LSW1上的配置就像给网络装上智能门禁。首先需要全局启用功能[LSW1]dhcp enable # 必须先开启DHCP功能 [LSW1]dhcp snooping enable # 全局使能Snooping接下来是最关键的信任端口配置。根据我们的拓扑GE0/0/1连接合法DHCP服务器需要标记为信任端口[LSW1]interface GigabitEthernet 0/0/1 [LSW1-GigabitEthernet0/0/1]dhcp snooping trusted # 设置信任端口此时如果查看Snooping状态会发现一个典型问题[LSW1]display dhcp snooping configuration Error: DHCP snooping is not enabled in VLAN 1.这是因为华为交换机需要在VLAN维度再次启用该功能。虽然所有接口默认在VLAN1仍需显式配置[LSW1]vlan 1 [LSW1-vlan1]dhcp snooping enable # 在VLAN1启用安全加固建议开启报文告警功能能帮助及时发现攻击尝试。以下配置会在每分钟丢弃超过120个非法DHCP响应时触发告警[LSW1]dhcp snooping alarm dhcp-reply enable threshold 120实测中发现如果网络中存在大量DHCP请求如会议室突然接入多台设备可能需要调整阈值。一般办公环境建议设置在100-150之间超过这个数值很可能存在扫描攻击。4. 效果验证与故障排查配置完成后最激动人心的就是验证环节。我们先在PC1上测试PC1 dhcp enable PC1 interface Ethernet 0/0/1 PC1-Ethernet0/0/1 ip address dhcp-alloc正常情况下应该获取到192.168.10.0/24网段的地址。如果获取到192.168.20.0/24的地址说明Snooping未生效。常见排查步骤检查绑定表[LSW1]display dhcp snooping binding正常应该看到类似这样的记录MAC Address IP Address Lease VLAN Interface 00e0-fc12-3456 192.168.10.1 86400 1 GE0/0/3验证端口信任状态[LSW1]display dhcp snooping interface GigabitEthernet 0/0/1 Trusted interface: Yes # 必须为Yes抓包分析最直接的方式LSW1 system-view [LSW1]interface GigabitEthernet 0/0/2 # 连接非法服务器的端口 [LSW1-GigabitEthernet0/0/2]port-mirroring to observe-port 1 both然后在观察端口接入Wireshark应该能看到DHCP Offer报文被丢弃的现象。有个特别实用的技巧在交换机上开启debug可以实时查看处理过程[LSW1]debugging dhcp snooping packet [LSW1]terminal monitor [LSW1]terminal debugging正常会看到类似日志DHCP_SNOOPING: Drop untrusted packet from GE0/0/2, typeDHCP Offer我在实际项目中发现如果交换机端口之前配置过其他安全特性如DAI可能需要先清除原有配置。曾经有个案例因为端口启用了IP Source Guard导致DHCP Snooping不生效重置端口后问题解决。