DHCP snooping
Főnév
DHCP snooping (tsz. DHCP snoopings)
- (informatika) A DHCP snooping egy Layer 2-es (adatkapcsolati rétegbeli) biztonsági technológia, amely a dinamikus IP-cím kiosztást figyeli és szabályozza a hálózaton belül. A célja, hogy megakadályozza a rosszindulatú DHCP-kiszolgálók működését, valamint az IP-cím hamisítását (spoofing) és más DHCP-alapú támadásokat.
🔧 Hol alkalmazzuk?
A switch-eken (kapcsolókon), különösen a Cisco Layer 2/3 eszközökön használják, jellemzően:
- vállalati hálózatokban
- oktatási intézményekben
- nyilvános hálózatokban (pl. Wi-Fi hotspotok)
🎯 Miért van rá szükség?
Képzeld el, hogy egy rosszindulatú felhasználó csatlakozik a hálózathoz, és elindít egy saját hamis DHCP szervert. Ez a szerver IP-címeket osztogat más klienseknek, de rossz alapértelmezett átjárót (gateway) vagy DNS szervert ad meg. Ez:
- lehetővé teszi a man-in-the-middle (MitM) támadásokat,
- vagy egyszerűen megbénítja a hálózatot.
A DHCP snooping megelőzi ezt azzal, hogy ellenőrzi, melyik portokon megengedett a DHCP válaszok küldése, és naplózza a megbízható IP-cím hozzárendeléseket.
🧱 DHCP snooping működése lépésről lépésre
1. 📥 Forgalom figyelése
A switch figyeli a DHCP forgalmat: - DHCP Discover és Request – kliens küldi - DHCP Offer és ACK – szerver küldi
2. 🎯 Portok besorolása: trusted vs untrusted
- Trusted port: itt található a megbízható DHCP szerver
→ engedélyezi a DHCP válaszokat (Offer, ACK)
- Untrusted port: kliens portok
→ nem engedélyez DHCP válaszokat
→ ha innen jön DHCP Offer/ACK → blokkolva lesz
3. 🧾 Binding adatbázis létrehozása
A switch létrehoz egy belső DHCP snooping binding table-t, amely tartalmazza:
- IP-cím
- MAC-cím
- VLAN ID
- Port (interfész)
- Kiadás ideje (lease time)
Ez az adatbázis a DHCP által kiosztott IP-címekhez kapcsolódó eszközöket jegyzi fel.
4. 🔎 Felhasználás más biztonsági funkciókhoz
Ezt a binding táblát más Layer 2 biztonsági technológiák is használják, például:
- IP Source Guard (IPSG) – IP-cím spoofing elleni védelem
- Dynamic ARP Inspection (DAI) – ARP spoofing elleni védelem
⚙️ DHCP snooping konfigurálása (Cisco példa)
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
! Megbízható port beállítása (ahol a DHCP szerver van)
Switch(config-if)# interface GigabitEthernet0/1
Switch(config-if)# ip dhcp snooping trust
! Nem megbízható port – alapértelmezett minden más port
Switch(config-if)# interface GigabitEthernet0/2
Switch(config-if)# ip dhcp snooping limit rate 10
🛡️ DHCP snooping biztonsági előnyei
- Megakadályozza a hamis DHCP szervereket
- Megbízható IP–MAC–port hozzárendelés, amit más funkciók is használhatnak
- Sebességkorlátozás DHCP csomagokra → DoS támadás ellen
- Véd a man-in-the-middle típusú támadások ellen
- Kötelező előfeltétel a DAI (Dynamic ARP Inspection) és az IPSG (IP Source Guard) használatához
⚠️ Lehetséges problémák, hibák
- Ha nem állítod be trusted portként a DHCP szervert, a switch blokkolni fogja a DHCP válaszokat → kliensek nem kapnak IP-címet.
- Binding tábla memóriát fogyaszt, nagy hálózatban számolni kell a terheléssel.
- Nem működik jól, ha kliensek statikus IP-címet használnak → nem kerülnek a binding táblába.
🧠 Összefoglalás
| Funkció | DHCP snooping |
|---|---|
| Működési réteg | Layer 2 |
| Védelem típusa | DHCP-alapú támadások (spoofing, DoS) |
| Port típusok | trusted / untrusted |
| Binding adatbázis | IP–MAC–VLAN–Port táblázat |
| Más funkciók alapja | IP Source Guard, Dynamic ARP Inspection |
| Beállítási hely | Switch (interface és VLAN szintjén) |
🧪 Vizsgán hasznos tudni:
- DHCP snooping szükséges az IPSG és DAI működéséhez.
- A trusted portokon engedjük a DHCP válaszokat.
- A binding adatbázis IP–MAC–VLAN–port alapján működik.
- IP spoofing elleni védekezés egyik fő eszköze.
- DHCP snooping - Szótár.net (en-hu)
- DHCP snooping - Sztaki (en-hu)
- DHCP snooping - Merriam–Webster
- DHCP snooping - Cambridge
- DHCP snooping - WordNet
- DHCP snooping - Яндекс (en-ru)
- DHCP snooping - Google (en-hu)
- DHCP snooping - Wikidata
- DHCP snooping - Wikipédia (angol)