説明 DHCP スヌーピングを理解するには、まず DHCP スプーフィング攻撃について学ぶ必要があります。

DHCPスプーフィングは、攻撃者がクライアントからのDHCP要求をリッスンし、正当なDHCP応答がクライアントに届く前に偽のDHCP応答で応答する攻撃の一種です。偽のDHCP応答は、多くの場合、自身のIPアドレスをクライアントのデフォルトゲートウェイとして指定します。これにより、クライアントから送信されるすべてのトラフィックが攻撃者のコンピュータを通過することになり、攻撃者は「中間者」となります。攻撃者は、偽のDHCP応答が確実に先に到達するようにするいくつかの方法を持っています。実際、攻撃者がDHCPサーバよりも「近い」場合、何もする必要はありません。あるいは、DHCPサーバにDoS攻撃を仕掛けてDHCP応答を送信できないようにすることもできます。DHCPスヌーピングはDHCPスプーフィング攻撃を防ぐことができます。DHCPスヌーピングは、どのスイッチポートがDHCP要求に応答できるかを決定するCisco Catalystの機能です。ポートは信頼済みと非信頼済みとして識別されます。

承認されたDHCPサーバーに接続するポートのみが信頼され、あらゆる種類のDHCPメッセージを送信できます。スイッチ上のその他のポートはすべて信頼されず、DHCP要求のみを送信できます。信頼できないポートでDHCP応答が検出された場合、そのポートはシャットダウンされます。

sysopt permit-vpn が有効になっていない場合は、VPN トラフィックが FTD デバイスを通過するようにアクセス制御ポリシーを作成する必要があります。sysopt permit-vpn が有効になっている場合は、アクセス制御ポリシーの作成をスキップしてください。参考: https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/215470- site-to-site-vpn-configuration-on-ftd-ma.html

攻撃には、次の 3 つの基本的なカテゴリがあります。+ ボリュームベースの攻撃: 大量のトラフィックを流用してネットワーク帯域幅を圧迫します。+ プロトコル攻撃: サーバー リソースの悪用に重点を置きます。+ アプリケーション攻撃: Web アプリケーションに重点を置き、最も高度で深刻なタイプの攻撃であると考えられています。参照: https://www.esecurityplanet.com/networks/types-of-ddos-attacks/
+ 大量のトラフィックを利用してネットワーク帯域幅を圧迫するボリュームベースの攻撃
+ サーバーのリソースを悪用することを目的としたプロトコル攻撃
攻撃には、次の 3 つの基本的なカテゴリがあります。+ ボリュームベースの攻撃: 大量のトラフィックを流用してネットワーク帯域幅を圧迫します。+ プロトコル攻撃: サーバー リソースの悪用に重点を置きます。+ アプリケーション攻撃: Web アプリケーションに重点を置き、最も高度で深刻なタイプの攻撃であると考えられています。参照: https://www.esecurityplanet.com/networks/types-of-ddos-attacks/