DHCP(DynamicHostConfigurationProtocol，動態主機配置協議)為互聯網上主機提供地址和配置參數。DHCP是基于Client/Server工作模式，DHCP服務器需要為主機分配IP地址和提供主機配置參數。DHCP獲取IP地址大概需要如下4步，附件是4步的wiershark抓包，下載地址/data/190353為DHCP服務器地址圖SEQ圖\*ARABIC1DHCP過程當一臺正常PC發出1,DHCPDISCOVER（廣播）之后，如果網絡在存在一臺攻擊DHCP設備，一臺正常DHCP服務器，那么此PC都會收到兩臺服務器的2,DHCPOFFER，如果PC先收到合法的2,DHCPOFFER，則可以正常獲取IP地址。但是如果PC先收到非法的2,DHCPOFFER，側會得到攻擊主機提供的IP地址和DNS服務器等等。這時候PC得到的網關和DNS都可能是假的，以達到中間人攻擊（在攻擊主機上開啟路由轉發功能），DNS欺騙釣魚，會話劫持，密碼盜取等等很多，不一一列舉。下圖是DHCPOFFER數據包截圖，數據包包括了提供的IP地址，DNS等信息。怎么防止DHCP攻擊呢，以思科為例：DHCPSnooping技術是DHCP安全特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。DHCPSnooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息。當交換機開啟了DHCP-Snooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCPRequest或DHCPAck報文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCPServer的屏蔽作用，確保客戶端從合法的DHCPServer獲取IP地址。DHCPsnooping配置方法：switch（config）#ipdhcpsnooping

switch（config）#ipdhcpsnoopingvlan10

/*在Vlan10啟用dhcpsnooping

switch（config-if）#ipdhcpsnoopinglimitrate10

/*dhcp包的轉發速率，超過后接口就shutdown，默認不限制;

switch（config-if）#ipdhcpsnoopingtrust

/*這樣這個端口就變成了信任端口，信任端口可以正常接收并轉發DHCPOffer報文，不記錄ip和mac地址的綁定，默認是非信任端口"

switch#ipdhcpsnoopingbinding0009.3452.3ea4vlan7interfacegi1/0/10

/*這樣可以靜態ip和mac一個綁定；

switch（config）#ipdhcpsnoopingdatabasetftp:///dhcp_table

/*因為掉電后，這張綁定表就消失了，所以要選擇一個保存的地方，ftp，tftp，flash皆可。本例中的dhcp_table是文件名，而不是文件夾，同時文件名要手工創建一個。

showipdhcpsnooping

/*顯示DHCP探測狀態*/當然，DHCP全是廣播，如果交換網絡中本來廣播就很多，又在交換機上配置上廣播限制，則要能會導致DHCP數據包丟失，或者是switch（config-if）#ipdhcpsnoopinglimitrateN

值太小，或者是信任端口配置出錯，無法或者獲取IP址址。如果發現IP地址獲取困難，首先就檢查DHCP服務器上是否有足夠的地址可以提供。以及服務器能否收到1,DHCPDISCOVER（廣播）對應圖中包11。客戶PC，能否收到2,DHCPOFFER

（廣播）對應圖中包12。這兩個包非常關鍵。且要看請求和應答的時間差（11，12號包）。如果這兩個包正常，則接下來檢查3,DHCPREQUEST

（廣播）

對應圖中包13

4,DHCPACK得到IP地址

（廣播）對應圖中包14，這兩步一般不容易出問題。說到中間人攻擊。還要另一種簡單的方法，就是基于ARP的中間人攻擊。如下圖：攻擊主機通過ARP數據包告知被攻擊主機，網關就是我，請把跨網段的數據發給我，如下圖所示。看起來來像是103和108的主機在詢問網關MAC地址，實則是在是告訴網關，103和108的MAC地址為48:d2:24:16:f1:1f，發往它們就的數據發送給我（48:d2:24:16:f1:1f）就行了。默認情況下，被攻擊主機會掉線。但此時如果在攻擊主機上開啟路由轉發功能，則攻擊主機能再次轉發數據包，使目標主機不掉線。ARP攻擊的防止方法。當然如果全使用靜態ARP綁定就不會有ARP攻擊問題了。另，以思科為例，可以通過DAI技術解決。思科DynamicARPInspection(DAI)在交換機上提供IP地址和MAC地址的綁定,并動態建立綁定關系.

switch(config)#ipdhcpsnoopingvlan7

switch(config)#ipdhcpsnoopinginformationoption/*默認

switch(config)#ipdhcpsnooping

switch(config)#iparpinspectionvlan7

/*定義對哪些VLAN進行ARP報文檢測

switch(config)#iparpinspectionvalidatesrc-macdst-macip

/*對源,目mac和ip地址進行檢查

switch(config-if)#ipdhcpsnoopinglimitrate10

switch(config-if)#iparpinspectionlimitrate15/*定義接口每秒ARP報文數量

switch(config-if)#iparpinspectiontrust/*信任的接口不檢查arp報文,默認是檢測同樣，以可以通過交換機端口安全，來解決ARP中間人攻擊。

sw1(config-if)#switchportport-securitymaximum1

sw1(config-if)#switchportport-securityviolation?

protect