锐捷ruijie交换机上如何防DHCP地址耗竭攻击
发表时间:2022-08-28 01:47:16
文章来源:超级管理员
浏览次数:722
用户发送的DHCP 请求报文中,DHCP Server根据请求报文里面的client mac address字段来给用户分配IP,非法用户会通过伪造client字段的mac 地址来进行请求分配IP,这样导致DHCP Server 地址池很快被消耗,正常的用户会获取不到IP,对于这种攻击,交换机上可以在全局下使用如下命令来防止DHCP耗竭攻击
Ruijie(config)#ip dhcp snooping verify mac-address
这样DHCP请求报文经过交换机的时候,交换机回去匹配二层帧头的mac地址与client字段里面的mac地址是否一致,如果不一致则丢弃报文,这样有效的防止了DHCP Server地址池由于被攻击而消耗地址。