مقدمه
DHCP Snooping یکی از قابلیتهای امنیتی قدرتمند در تجهیزات شبکه است که جلوی حملات رایج مثل DHCP Spoofing را میگیرد. اگر در شبکهات از سرویس DHCP استفاده میکنی و نمیخواهی کلاینتها IP جعلی بگیرند یا ترافیکشان به سمت یک سرور قلابی برود، این ویژگی دقیقاً برای همین ساخته شده.
در این مقاله یاد میگیری DHCP Snooping چیست، چطور کار میکند، چه مزایا و محدودیتهایی دارد و چطور میتوان آن را به شکل عملی پیادهسازی کرد.
DHCP Snooping چیست؟
به زبان ساده، DHCP Snooping مثل یک بادیگارد لایه ۲ عمل میکند که مراقب پیامهای DHCP روی شبکه محلی است. این بادیگارد تشخیص میدهد کدام دستگاه یا پورت اجازه ارسال پاسخ DHCP دارد و جلوی همه منابع ناامن را میگیرد.
📌 بدون این قابلیت، هر دستگاهی میتواند خودش را بهعنوان سرور DHCP جا بزند و به کلاینتها IP بدهد.
چرا DHCP Snooping اهمیت دارد؟
✔️ جلوگیری از حملات DHCP Spoofing و تخصیص آدرس جعلی
✔️ بهبود ایمنی کلاینتها و مسیر صحیح ارتباط آنها
✔️ ثبت و نگهداری دیتابیس از تخصیص IPها (+ امنیت لایه ۲)
✔️ یکپارچگی بیشتر با قابلیتهای دیگر مثل Dynamic ARP Inspection (DAI) و IP Source Guard
❌ اگر درست پیادهسازی نشود، حتی میتواند سرویس DHCP قانونی را هم از کار بیندازد! 😅
مکانیزم کاری DHCP Snooping
وقتی DHCP Snooping فعال شود، سوئیچ بین پورتهای Trusted و Untrusted فرق میگذارد:
- Trusted Ports: پورتهایی که به سرور DHCP قانونی وصلاند.
- Untrusted Ports: بقیه پورتها (کلاینتها یا دستگاههای غیرقابل اطمینان).
وقتی از یک پورت Untrusted پاسخ DHCP بیاید، سوئیچ بهسرعت آن را Drop میکند.
اصطلاحات کلیدی
- Binding Table: جدولی که MAC آدرس، آدرس IP، VLAN و پورت مربوط به هر کلاینت را ذخیره میکند.
- Rate Limiting: محدودیت تعداد پیام DHCP برای جلوگیری از حملات Flood.
- Option 82: اطلاعات اضافهای که سوئیچ میتواند به پیام DHCP اضافه کند تا سرور تصمیمگیری بهتری داشته باشد.
مراحل پیادهسازی DHCP Snooping در Cisco IOS
فرض کنیم:
- VLAN 10 = شبکه کلاینتها
- سرور DHCP به پورت FastEthernet 0/1 وصل است
گامها:
- فعالسازی DHCP Snooping به صورت کلی
Switch(config)# ip dhcp snooping- محدود کردن VLANها برای DHCP Snooping
Switch(config)# ip dhcp snooping vlan 10- تنظیم پورت Trusted
Switch(config)# interface FastEthernet0/1
Switch(config-if)# ip dhcp snooping trust- محدود کردن نرخ پیامهای DHCP در پورت Untrusted
Switch(config)# interface range FastEthernet0/2 - 24
Switch(config-if-range)# ip dhcp snooping limit rate 10- بررسی وضعیت
Switch# show ip dhcp snoopingمزایا و معایب DHCP Snooping
| مزایا ✔️ | معایب ❌ |
|---|---|
| جلوگیری مؤثر از DHCP Spoofing | نیاز به پیکربندی دقیق |
| ثبت اطلاعات کلاینتها برای اهداف امنیتی | افزایش بار پردازشی روی سوئیچ |
| هماهنگی با DAI و IP Source Guard | ایجاد قطعی در صورت اشتباه در Trust Portها |
نکات طلایی برای استفاده بهینه
- همیشه حداقل یک پورت Trusted به سرور DHCP وصل کنید.
- VLANهای غیرضروری را از DHCP Snooping خارج کنید.
- از Rate Limit روی پورتهای Untrusted استفاده کنید.
- قابلیت را فقط روی سوئیچهای لایه ۲ که بین کلاینت و سرور قرار دارند فعال کنید.
📌 خلاصه به زبان آدمیزاد
DHCP Snooping مثل یک نگهبان سختگیر جلوی در شبکه است که فقط آدمهای “مجاز” را راه میدهد IP بدهند! درست فعالش کنی، جلوی کلی دردسر رو میگیرد.
❓ سوالات رایج کاربران
خیر، معمولاً روی سوئیچهای مدیریتی لایه ۲ و ۳ برندهایی مثل Cisco، Juniper یا HP وجود دارد.
تأثیرش حداقلی است، مگر اینکه تعداد broadcastهای DHCP خیلی زیاد باشد.
بله، حتی در شبکه کوچک یک دستگاه آلوده میتواند کل سیستم را مختل کند.
خیر، بهتر است همراه با DAI و IP Source Guard استفاده شود.
بله، بهصورت پیشفرض روی VLAN جدید فعال نمیشود.
نظر شما در مورد این مطلب چیه؟