DHCP Snooping



 ◆ DHCPスヌーピングとは

 DHCPスヌーピングは、DHCPサーバとDHCPクライアントでやりとりする「DHCP要求とDHCP応答」を
 スヌーピング(のぞき見)することで、DHCPサーバのなりすましや、DHCPサーバへの攻撃を防げます。
 DHCPスヌーピングの機能を有効化したスイッチでは、以下の2種類のインターフェースを定義します。

定義するインターフェース 説明
 信頼できるポート(trusted)

 ・ DHCPサーバからのトラフィックを受信するポート
 ・ すべてのDHCPメッセージの送信元になれるポート

 信頼できないポート(untrusted)

 ・ DHCPクライアントからのトラフィックを受信するポート
 ・ DHCPクライアントからのDHCP要求の送信元にのみなれるポート


 つまり、DHCPサーバからトラフィックが着信してくるポートのみを「trusted」としておけば、その他の
 untrustedポートに「正規DHCPクライアント」を接続しても「不正DHCPクライアント」が接続されても、
 正規DHCPクライアントは正常にDHCPのやり取りができて、不正DHCPクライアントが不正なDHCP応答
 パケットを送信したとしても該当ポートでパケットは破棄されるので、DHCPスプーフィングの心配はない。


    


 DHCPスヌーピングではスヌーピングにより、DHCPクライアントのMACアドレス、IPアドレス、リース
 バインディングタイプ、VLAN、スイッチのポートから構成される
バインディングテーブルを構築します。

 スイッチが「Untrusted」ポートでパケットを受信し、そのポートが属するVLANでDHCPスヌーピングが
 有効な場合、スイッチは送信元MACアドレスとDHCPクライアントのハードウェアアドレスを比較します。
 アドレスが一致した場合はスイッチはパケットを転送して、アドレスが一致しない場合はドロップします。


 ◆ DHCP Option 82

 DHCPスヌーピングだけでなくDHCP Option82が有効化されたスイッチでは、DHCPクライアントからの
 DHCP DiscoverメッセージをDHCPサーバに転送する前に「スイッチのMACアドレス、スイッチのポート
 番号」情報をパケットに追加するので、同じスイッチに接続している複数のLANホストを一意に識別可能。



DHCPスプーフィングの攻撃と対策

ネットワークエンジニアとして

Copyright (C) 2002-2018 ネットワークエンジニアとして All Rights Reserved.