14网络安全-DHCP安全概述.ppt

如果封装DHCP请求报文的数据帧的源MAC地址各不相同，则通过mac-address max-mac-count命令限制端口可以学习到的MAC地址数，并配置学习到的MAC地址数达到最大值时，丢弃源MAC地址不在MAC地址表里的报文，能够避免攻击者申请过多的IP地址，在一定程度上缓解DHCP饿死攻击。此时，不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址，但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。 如果封装DHCP请求报文的数据帧的MAC地址都相同，则通过mac-address max-mac-count命令无法防止DHCP饿死攻击。在这种情况下，需要使能DHCP Snooping的MAC地址检查功能。使能该功能后，DHCP Snooping设备检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致，则认为该报文合法，将其转发给DHCP服务器；如果不一致，则丢弃该报文。 使能DHCP Snooping的MAC地址检查功能 * 1. 全局静态绑定表项 全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项，这类表项在设备的所有端口上生效，允许端口正常转发IP地址和MAC地址均与全局静态绑定表项匹配的报文，其它报文是否可以被正常转发由端口上配置的静态绑定表项来决定。全局静态绑定表项适用于防