針對DHCP Snooping的問題，我們在之前的一些文章中也已經介紹過了。這里我們再來詳細地總結一下。其中工也為大家舉出了圖示，希望能夠讓大家對這部分知識有一個直觀的認識。

DHCP Server Spoofing

攻擊者在交換機上架設了一個非法的DHCP服務器，將地址發送給客戶端（網絡中客戶端從哪個DHCP上拿地址全憑人品，完全是誰快從誰哪里拿）攻擊者可以將客戶端的網關指向自己，于是可以得到客戶端所有的數據包，之后再做一個中繼，將數據包轉發至真正的網關，但客戶端感覺不到異樣。

防范方法

配置DHCP Snooping

配置IP DHCP Snooping 步驟

1 在全局開啟DHCP Snooping(必須)

ip dhcp snooping

2 在vlan上啟用

ip dhcp snooping vlan 11-200

3 接口上啟用 DHCP Trust（很重要的命令，默認全局啟用了dhcp snooping之后，所有的接口都是untrust，只允許接PC，必須在和dhcp服務器，接入層交換機相連的接口下配置trust。untrust接口只能夠發送DHCP請求，其余的DHCP相關包都會丟棄）

ip dhcp snooping trust

4 可以在接pc的接口上配置dhcp包的速率

ip dhcp snooping limit rate 100