このページをはてなブックマークに追加このページを含むはてなブックマーク このページをlivedoor クリップに追加このページを含むlivedoor クリップ

DHCPスヌーピング

  • CiscoのCatalystなどで実装されている。
  • 偽DHCPサーバーによるMITMアタックを解決するスイッチの機能。
  • DHCPスヌーピングでは、スイッチがDCHPのパケットを監視し、認証機能付きDHCPサーバーからIPアドレスを割り当てられた端末の情報(IPアドレス、MACアドレス、リース期間など)を記憶して、この端末の通信のみを許可する。
    • IPアドレス固定端末やIPアドレス詐称端末、および不正なDHCPサーバーの通信は破棄されるので、「IPアドレスの管理と配布を簡単にするDHCP」と「不正接続の防止」の両立を実現できる。
  • ルータープリンタなどといったDHCPに対応しない端末の通信を妨害するという弱点がある。
    • そのため、これらの機器を接続するポートにはDHCPスヌーピングを行わない設定にしたり、IPアドレスやMACアドレスフィルタで接続可能な端末をあらかじめ登録しておくという対策などが必要である。

参考文献

  • 『ゼロからはじめるスイッチ&ルータ 増補・新装版』