华为基于dhcp snooping表的各种攻击防御

所有的前提是必须开启了dhcp snooping功能

一、dhcp 饿死攻击： 接口下或vlan下开启 dhcp snooping check dhcp-chaddr enable 开启二层源mac和chaddr一致性检测

dhcp snooping max-user-number 1 接口上手动配置的绑定成员数量（可选择项）

dhcp snooping stick-mac mac地址 接口上手动配置, 防止因二层arp欺骗造成的本身就是错的攻击(如果没二层arp攻击可不设置)

二、dhcp防冒dhcp server攻击(私接小路由器发dhcp): dhcp snooping enable 全局下开启

dhcp snooping trusted 上联口开信任

三、防dhcp 中间人攻击 系统视图下执行：arp dhcp-snooping-detect enable 开arp报文和snooping 绑定表匹配检查功能

四、IPSG(防止下面的人手动配置IP) 捉包看客户端的mac地址和数据帧的mac应该相同（除了过三层外），如果不同就是攻击 意思就是pc发出的dhcp请求包，源mac和dhcp里的客户端mac要一样

两种方法，一种手动，一种自动： 静态手动要一条一条的添加： user-bind static ip-address 192.168.1.1 mac-address 555e-5686-8789 interface g0/0/2 valn

动态自动： 端口或vlan下 ip source check user-bind enable 开户dhcp snooping 和ipsg联动功能