Gani Amanda Abdulah (www.ganishare.blogspot.

com)

DHCP SNOOPING

DHCP snooping adalah fitur Cisco Catalyst

yang menentukan port switch mana yang dapat merespon permintaan DHCP (DHCP
request). Port diidentifikasi sebagai trusted dan untrusted. trusted port mendapat
semua lalu lintas pesan DHCP , termasuk DHCP offer dan DHCP ancknoledgement,
sedangkan untrusted port hanya dapat DHCP request saja. trusted port bisa sebuah
host DHCP server atau bisa menjadi uplink ke server DHCP.

Jika perangkat penipu (rogue device) pada port untrusted mencoba untuk mengirim
paket DHCP offer ke jaringan, maka port akan dimatikan.
DHCP Snooping adalah fitur keamanan yang bertindak seperti firewall antara
untrusted host dan trusted DHCP server. Fitur DHCP snooping melakukan kegiatan
sebagai berikut:

Memvalidasi pesan DHCP yang diterima dari sumber yang tidak dipercaya
dan menyaring pesan yang tidak valid.
Membatasi lalu lintas DHCP dari sumber terpercaya dan tidak terpercaya.
Membangun dan memelihara DHCP snooping binding database, yang berisi
informasi tentang host tidak terpercaya dengan alamat IP disewakan.
Memanfaatkan database DHCP snooping binding untuk memvalidasi
permintaan berikutnya dari host tidak terpercaya.

DHCP snooping diaktifkan pada basis per-VLAN. Secara default, fitur ini tidak aktif
pada semua Port dan VLAN. Anda dapat mengaktifkan fitur pada VLAN tunggal atau
dalam suatu range VLAN.

Fitur ini merupakan salah satu cara untuk mencegah terjadinya serangan pada
DHCP server. terdapat dua serangan pada DHCP yaitu DHCP starvation attacks
dan DHCP spoofing. pada DHCP starvation attacks, penyerang membanjiri (floods)
DHCP server dengan DHCP request untuk dapat menggunakan seluruh ip yang
tersedia sehingga menyebabkan denial of service (DOS) dimana client tidak dapat
jaringan sedangkan DHCP spoofing, penyerang menempatkan sebuah DHCP server
Gani Amanda Abdulah (www.ganishare.blogspot.com)

palsu dengan maksud memaksa agar client menggunakan IP, DNS dan gateway
palsu.

Untuk lebih dapat lebih memahami fitur DHCP snooping ini, saya simulasikan
dengan topologi sebagai berikut :

DHCP Server
DHCP Server
IP Address 10.10.10.1
Fake DHCP Server
IP Address 11.11.11.1
PC
PC0 DHCP
PC1 DHCP

Pada topologi diatas untuk DHCP Server menggunakan IP address 10.10.10.1/24

dengan pool IP dimulai dari 10.10.10.10
untuk Fake DHCP Server menggunakan IP address 11.11.11.1/24 dengan pool IP
dimulai dari 11.11.11.10.

Dengan kehadirannya penyerang yang menempatkan DHCP server palsu pada

jaringan, ini menjadi sangat rentan dimana ketika client melakukan discover dan
request, bisa terjadi client mendapat offer dari ack dari DHCP server palsu. yang
akan kita lakukan adalah mengkonfigurasi port pada switch menjadi trusted dan
untrusted, port yang menuju DHCP server (asli) akan saya set manjadi trusted, dan
port lainnya menjadi untrusted.

Pertama, klik switch dan pada mode command line interface, aktifkan fitur dhcp
snooping dan menset port yang terkoneksi langsung DHCP server menjadi trusted.
Pada menu global configuration ketikan :

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip dhcp snooping trust
Gani Amanda Abdulah (www.ganishare.blogspot.com)

Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/2 - 24
Switch(config-if-range)#ip dhcp snooping limit rate 5

Dengan konfigurasi diatas, dengan mengaktifkan ip dhcp snooping,

semua port secara default menjadi untrusted, dan dengan perintah ip
dhcp snooping trust pada fa0/1 menjadikan port fa0/1 bisa dilalui
semua lalu lintas DHCP (offer dan ack), kemudian ip dhcp snooping
limit rate 5 pada semua port lainnya menset batas packet dhcp yang
melalui port sebanyak 5 pps (packet per-second). Hal ini dimaksudkan
untuk mencegah DHCP starvation attack ketika jumlah packet melebihi
lima maka port kan di-shutdown/dimatikan.

DHCP request dari client :