DHCP Snooping یک قابلیت امنیتی است که که پیغام های DHCP نظیر DHCPOffer وDHCPACK و... را که از منابع غیر مجاز یا untrusted فرستاده شود ، فیلتر می کند . یک نوع از حملات اینگونه است که یک rogue server در شبکه گذاشته می شود که آدرس gateway شبکه را آدرس attacker معرفی می کند و می تواند حملانی مثل Man-in-the-Middle-Attack یا MITM را باعث شود. نوع دیگری از حملات ،  ارسال DHCP Request های زیاد با آدرس های MAC به صورت Spoofed است که می تواند Address Pool مربوط به DHCP Server را  exhaust یا به نحوی تمام کند. شناسایی DHCP Server براساس MAC Address آن صورت می گیرد. قابلیتSnooping  DHCP مشخص می کند که چه پورت هایی بر روی سوئیچ امکان جواب دادن به DHCP request ها را دارد. این امر باعث می شود تا clientهای شبکه IPهای خود را از DHCP Server غیر مجاز یا rogue DHCP Server دریافت نکنند. زمانی که این قابلیت امنیتی فعال می شود ، یک جدول شامل اطلاعات MAC Address ، IP Address ، Lease time ، binding Type و اطلاعات interface کلاینت بر روی سوئیچ را ایجاد می کند تا بتواند تمامی ip های اختصاص داده شده را track کند. از این جدول در قابلیت های دیگری نظیر IP Source Guard و Dynamic ARP Inspection نیز استفاده خواهد شد. نحوه عملکرد snooping بر پایه مفهوم پورت های trusted و untrusted است. تمامی پورت هایی که به کلاینت ها منصل می شوند به صورت untrusted و پورت های متصل به DHCP Server ( که می تواند حتی پورت متصل به سوئیچ دیگری باشد که DHCP server بر روی آن وجود دارد ) به صورت trusted تعریف می شود. زمانی که DHCP snooping بر روی سوئیچ فعال می شود ، مثل یک firewall بر روی VLAN های مورد نظر عمل می کند و تمامی پیغام های DHCP نظیر offer ، ACK ، NAK و ... را که از پورتی غیر از پورت trusted باشد ، drop خواهد کرد.




برای تنظیم DHCP Snooping تنها کافیست:
1.    DHCP Snooping بر روی سوئیچ و vlan های مورد نظر فعال شده
2.    پورت مربوط به DHCP Server به trust تعریف
3.    در صورت وجود پورت trunk بین سوئیچ ها ، trust relationبین آنها برقرار شود.
4.    تعداد حداکثر Packet های DHCP قابل مجاز بر روی پورت های untrusted مشخص شوند.
5.    و یک فابل برای database مربوط به DHCP lease ها درست شود تا در صورت reload شدن سوئیچ این اطلاعات از بین نرود. البته اگر در زمان reboot برخی از lease ها expire شود ، کل اطلاعات مربوط به آن کلاینت غیر معتبر بوده و تا زمان دریافت مجدد IP از DHCP ارتباط آن غیر ممکن خواهد بود.

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1
Switch(config)# ip dhcp snooping database flash:dhcp-snooping-db
Switch(config-if)# ip dhcp relay information trusted
 
Switch(config)# interface FastEthernet 0/0s
Switch(config-if)#description #Connected-To-DHCP-Server#
Switch(config-if)# ip dhcp snooping trust
   
Switch(config-if)# interface FastEthernet 0/1
Switch(config-if)#description #Connected-To-DHCP-Client#
Switch(config-if)# ip dhcp snooping limit rate 10