DHCP 스누핑

정의
DHCP 스누핑(DHCP Snooping)은 이더넷 스위치가 네트워크 내의 DHCP(Dynamic Host Configuration Protocol) 트래픽을 감시·제어하여, 허가되지 않은 DHCP 서버가 클라이언트에 IP 주소를 할당하는 행위를 방지하는 보안 기능이다. 스위치는 DHCP 메시지를 검사하고, 신뢰(trusted) 포트와 비신뢰(untrusted) 포트를 구분함으로써 악의적인 DHCP 서버의 응답을 차단한다.

개요

• 동작 원리

  1. 스위치가 DHCP Discover, Request, Offer, Ack 메시지를 모니터링한다.
  2. 신뢰 포트(일반적으로 DHCP 서버가 연결된 포트)에서 발생하는 DHCP Offer·Ack 메시지는 허용한다.
  3. 비신뢰 포트(일반 사용자 장비가 연결된 포트)에서 들어오는 DHCP Offer·Ack 메시지는 차단한다.
  4. 허용된 DHCP 응답에 포함된 IP·MAC·VLAN 정보를 DHCP 바인딩 테이블에 저장한다.

• 연계 기능

  • 동적 ARP 인스펙션(Dynamic ARP Inspection, DAI): DHCP 스누핑으로 구축된 바인딩 테이블을 사용해 ARP 스푸핑을 방지한다.
  • IP Source Guard: 바인딩 테이블을 근거로 허용된 IP·MAC 조합 외의 트래픽을 차단한다.

• 구성 요소

  • 신뢰 포트 설정: DHCP 서버가 위치한 포트를 신뢰(trusted)로 지정한다.
  • 바인딩 테이블: IP 주소, MAC 주소, VLAN ID, 포트 번호, 임대 기간(lease time) 등을 기록한다.
  • 임대 기간 관리: DHCP 서버가 갱신·제거하는 임대 정보를 실시간으로 반영한다.

어원/유래
‘DHCP 스누핑’이라는 용어는 DHCP(Dynamic Host Configuration Protocol)와 ‘snooping’(감시·잠입)이라는 영어 단어가 결합된 형태이다. 최초로 상용 스위치 제조업체인 시스코(Cisco Systems)가 2000년대 초반에 스위치 보안 기능의 일환으로 도입하면서 널리 알려졌다. 정확한 최초 도입 연도는 공식 문서마다 차이가 있으나, 2002년경 시스코 라우터·스위치 소프트웨어 버전 IOS 12.2에서 해당 기능이 소개된 기록이 있다.

특징

• 보안 강화: 내부 공격자나 외부 침입자가 사설 DHCP 서버를 설치해 IP 주소 충돌·네트워크 차단을 일으키는 것을 방지한다.
• 네트워크 가시성: DHCP 바인딩 테이블을 통해 각 호스트의 IP·MAC·VLAN 매핑 정보를 실시간으로 파악할 수 있다.
• 스위치 부하: 모든 DHCP 메시지를 처리하므로, 고밀도 트래픽 환경에서는 스위치 CPU 및 메모리 사용량이 증가할 수 있다.
• 제한 사항
  • DHCP 서버가 스위치 외부에 위치하거나 DHCP 릴레이(Relay) 구성을 사용하는 경우, 적절한 신뢰 포트 설정이 필요하다.
  • 일부 저가형 스위치에서는 DHCP 스누핑 기능이 제공되지 않거나 제한적인 옵션만 지원한다.
• 운용 팁
  • 신뢰 포트는 최소한으로 구성하고, 불필요한 포트를 모두 비신뢰로 설정한다.
  • 바인딩 테이블 크기를 적절히 조정하고, 임대 기간이 종료된 항목을 주기적으로 정리한다.

관련 항목

• DHCP (Dynamic Host Configuration Protocol)
• ARP 스푸핑(ARP Spoofing)
• 동적 ARP 인스펙션(Dynamic ARP Inspection)
• IP Source Guard
• 스위치 포트 보안(Port Security)
• 802.1X 인증
• 네트워크 액세스 제어(NAC)

※ 본 문서는 공개된 기술 문서와 표준 사양을 기반으로 작성되었으며, 최신 스위치 펌웨어에 따라 세부 동작이 다를 수 있다.