https://www.opennet.dev/openforum/vsluhforumID3/45914.html DHCP snooping - функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику. <br><br>На странице (http://xgu.ru/wiki/DHCP_snooping) подробно описывается принцип действия метода DHCP snooping, а также процедура настройки коммутаторов HP ProCurve и Cisco для использования этого метода.<br><br>URL: http://xgu.ru/wiki/DHCP_snooping<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=19188<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#11 Thu, 04 Dec 2008 08:25:03 GMT Если политика один "порт - один адрес" то да, привязывать к MAC смысла я не вижу.<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#10 Wed, 03 Dec 2008 21:55:00 GMT &gt;Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который <br>&gt;смотрит интернет??? <br><br>А где там инет?<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#9 Wed, 03 Dec 2008 18:50:30 GMT Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который смотрит интернет???<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#8 Wed, 03 Dec 2008 16:51:28 GMT <br><br>&gt; Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.<br><br>Я не совсем понял, вы предлагаете вообще MAC-адреса не использовать при выдаче IP-адресов<br>DHCP-сервером, а ориентироваться только на порт коммутатора?<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#7 Wed, 03 Dec 2008 12:48:50 GMT Привязывать к MAC идея изначально плохая, хотя возможно и есть случаи когда это делать необходимо.<br><br>Привязку луше делать через поля 82-й опци DHCP.<br><br>Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.<br><br>Вот строить ACL на основании DHCP-relay или привязывать MAC к порту - это более на мой взгляд интересно, правда оговорюсь, говорить об этом без конкретной схемы сети бесполезно.<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#6 Wed, 03 Dec 2008 12:08:47 GMT ACL'ами всю логику DHCP-snooping'а будет прописать довольно сложно.<br><br>Например, как прописать такое:<br><br>Отбросить пакет, если он пришёл через ненадёжный (untrusted) порт,<br>если он содержит сообщение DHCPRELEASE или DHCPDECLINE с MAC-адресом из базы данных привязки DHCP, но информация об интерфейсе в таблице не совпадает с интерфейсом, на котором был получен пакет?<br><br>То есть, грубо говоря, адрес мы выдали одному,<br>а отказывается от него другой через другой порт.<br>Как это запретить ACLами?<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#5 Wed, 03 Dec 2008 11:08:14 GMT Честно говоря я не понял преимущества DHCP snooping, по карайней мере в этой статье они не раскрыты (неудачный пример топологии ?).<br><br>Проще тогда запретить при помощи ACL работу DHCP-серверов на клиентских портах, а запросы DHCP релеить в отдельный vlan например в "управленческий".<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#4 Tue, 02 Dec 2008 21:22:55 GMT &gt;В этой вроде нет: <br>&gt;<br>&gt;http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&action=history <br>&gt;http://xgu.ru/w/index.php?title=%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3AContributions&contribs=user&target=Dyr&namespace=&year=&month=-1 <br>&gt;<br>&gt;Но вообще да, спасибо большое, особенно за SSH. <br>&gt;<br>&gt;Если делаете большой вклад в страничку, <br>&gt;если что, не стесняйтесь ставить себя автором. <br><br>За ARP-spoofing тоже, кстати.<br><br>Невнимательно посмотрел.<br> https://www.opennet.dev/openforum/vsluhforumID3/45914.html#3 Tue, 02 Dec 2008 21:20:04 GMT В этой вроде нет:<br><br>http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&action=history<br>http://xgu.ru/w/index.php?title=%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3AContributions&contribs=user&target=Dyr&namespace=&year=&month=-1<br><br>Но вообще да, спасибо большое, особенно за SSH.<br><br>Если делаете большой вклад в страничку,<br>если что, не стесняйтесь ставить себя автором.<br>