DHCP Snooping (indagación, fisgonear) se introduce para proteger los servidores y clientes DHCP contra ataques a través de paquetes ARP, IP o DHCP con direcciones IP y MAC de otros usuarios válidos. Los ataques incluyen lo siguiente: Las direcciones MAC y los campos de Dirección de hardware del cliente (CHADDR) en los paquetes DHCP se cambian constantemente para agotar los recursos de direcciones en el grupo de direcciones de un servidor DHCP. Como resultado, los usuarios válidos no pueden acceder a la red. Los paquetes de SOLICITUD DHCP falsificados se envían para que los usuarios válidos se desconecten de forma anormal. El servidor DHCP se falsifica para que los usuarios válidos no puedan conectarse.
La indagación DHCP entrega la tabla de vinculación de indagación DHCP de acuerdo con los paquetes DHCP ACK y vincula la tabla de vinculación a interfaces específicas de acuerdo con la información en el campo Opción 82 de los paquetes DHCP ACK.
• El dispositivo habilitado con indagación DHCP consulta la tabla de enlace para comprobar si los paquetes ARP, IP y DHCP para extender la concesión de la dirección IP coinciden con las entradas de enlace establecidas y luego descarta los paquetes no coincidentes.
• Los paquetes de un agente de retransmisión DHCP que pretende ser un servidor DHCP se descartan en interfaces que no son de confianza.
• El dispositivo habilitado con indagación DHCP verifica los campos CHADDR de los paquetes y luego descarta los paquetes en los que las direcciones en los campos CHADDR son diferentes de las direcciones MAC.