DHCP Snooping: Il Santo Protettore Contro La DHCP Starvation E Contro Il Coglionazzo Con Il DHCP Attivo
Manuale tecnico‑blasfemo per reti che vogliono sopravvivere agli esseri umani
Introduzione: la rete non è una sagra di paese, dio boia.
Ogni rete LAN nasce con una speranza ingenua: che nessuno faccia cazzate. Spoiler: qualcuno le farà. Sempre.
Prima o poi arriva:
- il dispositivo attaccato a minchia
- il DHCP attivo perché “di default”
- l’IP messo a pene di segugio
Ed è lì che partono i santi, i NAS piangono e l’admin riscopre la fede a colpi di porchiddii.
Qui entra in scena IL DHCP Snooping.
Sia lodato, benedetto e configurato, dio smodatamente cane.
I due grandi mali della LAN (aka: perché bestemmi fortissimo)
1) DHCP Starvation — l’Apocalisse del pool IP
La DHCP starvation è quando un coso (attacco layer2, o imbecillità ben riuscita) spara mille DHCP DISCOVER usando MAC inventati come i numeri del lotto.
Il server DHCP, povero stronzo fiducioso:
- assegna IP
- assegna IP
- assegna IP
- e basta diocane, son finiti, fine del pool diocane.
Risultato:
- client legittimi senza IP
- servizi morti
- admin in ginocchio che prega la puttana della madonna di fargli una porcodio di grazia ogni tanto, non solo fargli trasudare bile, maledetta lei.
Merda a spruzzo e bestemmie che piovono come se non dovesse mai più uscire il sole.
2) Il bastardo con il DHCP attivo
Questo è peggio.
Qualcuno collega un device (router, firewall, stampante demoniaca, vibratore smart) con DHCP SERVER ATTIVO.
Effetti collaterali:
- gateway sbagliati
- DNS inventati
- client che prendono IP dal diavolo
- rete che funziona a intermittenza (la forma peggiore di sofferenza diocane, ve lo posso garantire)
E la frase rituale:
“Ma da me in ditta funzionava”
SIIIIII DIOMERDA, DA TE PORCODIO, NON SULLA MIA RETE!!!!!!!!!!!!!!!!!!!!!!
ED E’ QUI CHE ENTRA IN GIOCO LUI.
LUI, CAZZO.
IL DHCP SNOOPING.
IL BUTTAFUORI GROSSO E INCAZZATO DELLA LAN
Il DHCP Snooping dice una cosa semplice e meravigliosa: “Solo QUESTO è il DHCP vero. Tutto il resto fuori dai coglioni.”
Funziona così:
- definisci porte trusted (uplink, server DHCP veri)
- tutto il resto è untrusted
- le OFFER e ACK DHCP da porte non trusted vengono droppate
- fine dei server DHCP abusivi
- fine della starvation
È come mettere un pitbull davanti al server DHCP. 🐕🦺
Cosa blocca, in pratica (lista delle cose che non rompono più il cazzo)
Con DHCP Snooping attivo, ti levi dalla minchia:
- DHCP starvation
- DHCP server non autorizzati
- IP distribuiti a caso
- gateway inesistenti diocane
- DNS farlocchi (che possono diventare anche un serio pericolo per la rete)
Se qualcuno collega un qualsiasi porcodio con DHCP attivo 👉 NON PASSA UN CAZZO.
La Snooping Binding Table (il libro dei peccati)
Lo switch crea una tabella sacra:
- IP
- MAC
- porta
- VLAN
Questa roba serve per:
- bloccare spoofing
- far funzionare Dynamic ARP Inspection
- far funzionare IP Source Guard
Una trinità santa che protegge la rete da chi lavora “a intuito”.
“Ma è complicato?” — No, fidati, sei solo tu che non l’hai fatto.
Ma so che sei in buona fede e non lo sapevi, e siamo qui per questo.
Configurare DHCP Snooping è:
- abilitare la feature
- marcare le porte giuste come trusted
- NON FARE CAZZATE
Tempo medio: 10 minuti.
Tempo risparmiato: anni di vita.
Perché se non lo attivi, è colpa tua. Spiaze.
Se oggi:
- un NAS va in conflitto IP
- i client prendono gateway sbagliati
- la rete sembra posseduta
E non hai DHCP Snooping attivo…
Non è sfortuna. È negligenza tecnica con aggravante umana.
Conclusione: configura o prega (spoiler: pregare è male, e lo sai anche tu, madonna maiala)
Il DHCP Snooping:
- ti difende dagli attacchi
- ti difende dai colleghi
- ti difende dai fornitori
- ti difende da te stesso nei giorni peggiori
Non è paranoia. Non è overkill. È istinto di sopravvivenza di rete.
Sempre sia lodato il DHCP Snooping 😇
E che ogni DHCP abusivo venga droppato senza pietà.
Amen e Porcodio.
