DHCP为动态主机配置协议(Dynamic Host Configuration Protocol),它能够自动为子网分配适当的IP地址以及其它网络参数。DHCP监控通过分析DHCP客户端与DHCP服务器之间的DHCP报文建立DHCP客户端的MAC地址和被分配的IP地址的对应关系。在启动ARP检查功能后,将检查经过设备的ARP包是否与该表的内容匹配,如果不匹配则丢弃该ARP包。在用DHCP获取地址的网络中,可以通过启用ARP检查和DHCP监控功能来防止ARP欺骗。
由于DHCP服务的客户端是以广播的方式寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,因此,如果网络中存在非授权的DHCP服务器,就有可能引发DHCP服务器欺骗。安全网关可以通过在相应端口上设置丢弃DHCP响应报文来防止DHCP服务器欺骗。
另外,一些恶意攻击者通过伪造不同的MAC地址不断地向DHCP服务器发送DHCP请求,从而耗尽服务器的IP地址资源,最终导致合法用户不能获得IP地址。这种攻击也即网络上常见的DHCP Starvation Attack。安全网关可以通过在相应端口上设置丢弃请求报文、设置DHCP包速率限制或者打开合法性检查功能来防止该类攻击。
安全网关的VSwitch接口均支持DHCP监控功能,部分平台的BGroup接口和VLAN可以支持DHCP监控功能。
