1、饿死攻击

2、dhcp客户端伪造DHCP报文攻击

3、非DHCP客户端伪造DHCP报文攻击

4、DHCP报文的泛洪攻击

5、DHCP Server的仿冒攻击

6、DHCP中间人攻击

所有配置可以在接口视图、VLAN视图、和系统视图开启：

1、饿死：[Huawei-GigabitEthernet0/0/1]dhcp snooping check dhcp-chaddr enable 

                                  //开启DHCP请求消息中数据链路层MAC与消息报文中的CHADDR字段一致性检查功能

  变异：[Huawei-GigabitEthernet0/0/1]dhcp snooping max-user-number 5   

                                  //限制接口形成DHCP Snooping表项的数量

2、[Huawei-GigabitEthernet0/0/1]dhcp snooping check dhcp-request enable   

                                  //开启dhcp-request报文和绑定表匹配检查功能

3、[Huawei-GigabitEthernet0/0/1]dhcp snooping sticky-mac 

                                  //开启设备根据DHCP Snooping绑定表形成MAC地址表功能，并关闭接口学习MAC地址能力，

                                    收到数据报文之后由于不能进行源MAC地址学习，将报文丢弃。（只能接口下开启）

  [Huawei-GigabitEthernet0/0/1]dhcp snooping check dhcp-rate enable

                                  //开启dhcp报文上传到DHCP处理单元检测和限制功能

  [Huawei-GigabitEthernet0/0/1]dhcp snooping check dhcp-rate 100

                                  //设置处理单位为100PPS  即每秒处理100次

5、[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted

                                  //设置接口为信任接口

6、[Huawei]arp dhcp-snooping-detect enable

                                  //开启DAI功能，依靠DHCP snooping绑定表防止ARP欺骗攻击。

信任接口：收到DHCP相应报文 开启了DHCP Snooping功能的客户端。接受到请求消息，只转发给信任接口。

非信任接口：收到DHCP 请求消息 之后只发给信任接口。接受到DHCP响应消息呢则丢弃

如果没有信任接口 则丢弃报文。

snooping表现主要是根据DHCP ACK报文形成，如果配置SNOOPING之前地址已获取，就会没有snooping。

班长聊天记录：江苏-晓斌-HCIE 0:56:59

常规的dhcp snooping检查是针对已经是客户端的，发出的type2报文中的内部的物理地址、ip地址等和外部的mac地址是否匹配，不匹配丢弃

江苏-晓斌-HCIE 0:59:16

snooping在检查的时候，会根据接口，外层mac到表中查找是否有记录，没有的话，就跳过

江苏-晓斌-HCIE 1:01:44

你可能是想说pc2的mac被记录在了1口，那么2口为什么允许一个pc2的mac从1口收到并转发是吧

江苏-晓斌-HCIE 1:03:30

这里如果模拟了一个pc2的release包，是会发生mac漂移的，但并不影响报文的转发

江苏-晓斌-HCIE 1:15:22

你如果想2口不接受，应该是要开启联动检测，这样就可以针对收到的type2报文进行匹配检查