这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测（DAI）和IP Source Guard使用。

防范方法

实践证明，Catalyst DHCP侦听（DHCP Snooping）功能可以有效阻止此类攻击。当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCP响应，因此欺诈DHCP响应包被交换机阻断，合法的DHCP服务器端口或上连端口应被设置为信任端口。

首先，定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，丢掉来自这些端口的非正常DHCP响应报文。

对于类似Gobbler的DHCP 服务的DOS攻击可以利用前面的Port  Security限制源MAC地址数目加以阻止；对于有些用户随便指定地址，造成网络地址冲突也可以利用DAI和IP Source Guard技术。

有些复杂的DHCP攻击工具可以产生单一源MAC地址、变化DHCP Payload信息的DHCP请求，当打开DHCP侦听功能，交换机对非信任端口的DHCP请求进行源MAC地址和DHCP Payload信息的比较，如不匹配就阻断此请求。

ARP欺骗攻击原理和防范

ARP欺骗攻击原理

ARP用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。

由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。

防范方法

这些攻击都可以通过动态ARP检查（DAI，Dynamic ARP Inspection）来防止，它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。

DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联，动态ARP检测可以用来检查所有非信任端口的ARP请求和应答，确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的ARP包将被删除。

IP/MAC欺骗的防范

常见欺骗攻击的种类和目的

除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击，目前较多的攻击是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。

IP/MAC欺骗的防范

Catalyst IP源地址保护（IP Source Guard）功能打开后，可以根据DHCP侦听记录的IP绑定表动态产生PVACL，强制来自此端口流量的源地址符合DHCP绑定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了。这个功能将只允许对拥有合法源地址的数据包进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于DHCP Snooping绑定表。

IP Source Guard不但可以配置成对IP地址的过滤，也可以配置成对MAC地址的过滤。这样，就只有IP地址和MAC地址都与DHCP Snooping绑定表匹配的通信包才能够被允许传输。

与DAI不同的是，DAI仅仅检查ARP报文， IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。

通过在交换机上配置IP Source Guard，可以过滤掉非法的IP/MAC地址，包含用户故意修改的和病毒、攻击等造成的；同时解决了IP地址冲突问题。