攻擊者可以通過偽造大量的IP請求包,而消耗掉現有DHCP服務器的IP資源。當有計算機請求IP的時候,DHCP服務器就無法分配IP。這時,攻擊者可以偽造一個DHCP服務器給計算機分配IP,並指定一個虛假的DNS服務器地址。這時,當用戶訪問網站的時候,就被虛假DNS服務器引導到錯誤的網站。
DHCP欺騙的解決方案(DHCP SNOOPING)
DHCP SNOOPING截獲交換機端口的DHCP應答報文,建立-張包含有用戶MAC地址、IP地址、 租用期、VLAN ID、交換機端口等信息的一張表,組DHCP SNOOPING還將交換機的端口分為可信任端口和不可信任端口,當交換機從一個不可信任端口收到DHCP服務器的報文時,比如DHCPOFFER報文、DHCPACK報文、DHCPNAK報文,交換機會直接將該報文棄;對信任端口收到的DHCP服務器的報文,交換機不會丟棄而直接轉發。一般將與用戶相連的端口定義為不可信任端口,而將與DHCP服務器或者其他交換機相連的端口定義河信任端口,也就是說,當在一個不可信任端口連接有DHCP服務器的話,該服務器發出的報文將不能通過交換機的端口。因此只要將用戶端口設置為不可信任端口,就可以有效地防止非授權用戶私自設置DHCP服務而引起的DHCP欺騙。