非法DHCP server 检测？开玩笑~

近期有个项目，负责为某单位建设态势感知平台，项目中除基本态势感知功能外还有3个定制需求，今天就针对其中的一个进行分享~

需求：检测接入到网络当中的非法DHCP server（这里的DHCP server主要针对无线路由器，当然还可以预防一定的中间人攻击）

为什么要有这样的需求呢？

客户现场某内网，终端统一采用DHCP方式获取IP，且网络规模较大，且分散，网络结构为核心层、汇聚层、接入层，因客户现场都为不懂技术的普通员工，私接无线路由器的事时有发生。

据了解DHCP server配置在汇聚交换机上。

售前给出的方案是通过流量探针对镜像流量进行处理，把生成的日志发送给态势感知平台，态势感知平台同过配置告警规则就可以得出是否有非法DHCP server接入到网络中。

好像上面方案针对需求没毛病，但是。。。

在这里不得不吐槽，当方案到我手里的时候已经距离计划验收剩3个星期了，看到方案我整个心态炸了，一方面是新版探针不支持解析dhcp数据包，二是探针处理的是核心交换的流量，根本检测不到汇聚和接入交换的流量，

情况反馈项目经理，一方面是协调产线去加班加点开发相应功能，二是反馈dhcp检测范围，项目经理给出的解决方案是功能具备，到时候就建议客户多买探针（本人感觉这种说法很逗，客户也不是傻子，虽然不是很懂技术，但客户对自己的需求很明确）

就这样一个星期功能开发完毕，对接态势感知完成，核心倒是检测到一部分dhcp服务但不多

本来打算一直隐瞒到项目验收阶段，可是纸包不住火，客户想测试一下，没办法，只好和客户坦白，不过在坦白之前我已经想好对策，就是建议客户从交换机上入手，配置dhcp snooping直接可以阻断非法DHCP server，并建议客户很多问题可以从交换机上入手，虽然公司定制开发团队很厉害，但是有些违背基础原理的还是无法实现的

索性客户比较好说话，让我协助进行测试，再找集成商的进行刷配置

首先在核心上测试了接入无线路由，可以检测到无线路由器，并产生了相应告警

接着在接入交换机上测试开启dhcp snooping功能，的确可以成功阻断该dhcp server

但是目前的配置只是阻断了，交换机上没有产生对应日志，后来咨询华三后得知一条命令就可以产生该日志（这里不得不吐槽华三400，你必须得有在维保内的序列号才可以咨询。。。）

就这样，非法DHCP server 检测危机过去了。。。

# 全局开启DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable
# 设置GigabitEthernet1/0/1端口为信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上开启DHCP Snooping表项功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit

dhcp snooping binding record命令用来启用端口的DHCP Snooping表项记录功能（据华三厂家介绍开启该功能即可产生阻断日志，当然前提还得配置好syslog转发功能）

关于通过流量检测识别dhcp server的方式可以参考：https://blog.csdn.net/killmice/article/details/53007476中的“DHCP报文类型”那些数据包是dhcp server向dhcp client发送的就可以通过配置规则实现dhcp server发现。

文章中如有不足之处欢迎指出，最后希望销售，售前，项目经理，工程师可以和谐相处，实现客户成功~