Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 7
Сервер DHCP будет отвечать на все запросы, не зная, что это атака с истощением DHCP
Как маршрутизатор определяет легитимные/поддельные запросы?
DHCP Snooping применим только к проводным пользователям.
Почему? Беспроводные клиенты тоже используют DHCP. По-моему, среда не имеет значения.
Честно говоря, статья на уровне всплывающей подсказки в веб-интерфейсе.
Как маршрутизатор определяет легитимные/поддельные запросы?Предполагается, что «правильный» сервер DHCP может быть расположен только за определёнными портами, чаще всего, т.н. uplink
Потому, что у беспроводной сети нет физических портов. Если в беспроводной сети действует изоляция клиентов друг от друга, то проблемы, решаемой средствами DHCP Snooping, нет, а если изоляции нет, то проблема нерешаема со стороны инфраструктурыDHCP Snooping применим только к проводным пользователям.Почему?
По-идее, AP тоже должна понимать, что (обычно) запрос может идти только от клиента в проводную сеть, а ответ — только наоборот, не зависимо от изоляции.
Легитимный сервер за доверенным портом, это понятно. А как отделить атакующего клиента от коммутатора, за которым сотня легитимных клиентов? Приходит на доверенный сервер сотня разных запросов — как убедиться, что они легитимные?
Как функция безопасности уровня доступа, она в основном включена на любом коммутаторе, содержащем порты доступа VLAN, обслуживаемой DHCP. При развертывании DHCP Snooping необходимо настроить доверенные порты (порты, через которые будут проходить допустимые сообщения DHCP-сервера), прежде чем включать DHCP Snooping в VLAN, которую вы хотите защитить.
Ну явно же одно противоречит другому…
Прочитал статью, но так и не понял, "Почему я не могу подключиться к сети, даже если мой ноутбук получил IP-адрес динамически"?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что такое DHCP Snooping и как это работает?