A DHCP-snooping egy Cisco Catalyst funkció, amely megszabja, hogy a kapcsoló melyik portja válaszolhat a DHCP-kérésekre. A portok lehetnek megbízhatók (trusted) és nem megbízhatók (untrusted). A megbízható portok mindenféle DHCP-üzenetet továbbíthatnak, míg a nem megbízható portok csak a DHCP-kéréseket fogadhatják. A megbízható porthoz csatlakozik, vagy azon keresztül érhető el a DHCP-szerver. Ha a támadó eszköz egy nem megbízható porton keresztül próbál DHCP-válaszcsomagot küldeni a hálózatra, akkor a port letiltásra kerül (shut down). Egy másik funkció a DHCP-opciók küldése, amelyekben a kapcsoló adatai is továbbításra kerülnek a DHCP-kérésben, például a továbbító port azonosítója.
Amint az 1. és 2. ábra mutatja, minden port, amelyeket nem állítottak be közvetlenül megbízhatónak, nem megbízhatónak minősül. A DHCP-hozzárendelés táblában látható, hogy melyik portok nem megbízhatók. A bejegyzések tartalmazzák a kliens MAC-címét, IP-címét, a bérlet időtartamát, a hozzárendelés típusát, a VLAN és port azonosítót. Ezek az adatok a kliens által küldött DHCP-kérés alapján kerülnek rögzítésre. A táblázat alkalmas az elkövetkező DHCP-forgalom szűrésére, mivel a nem megbízhatónak beállított port nem továbbíthat DHCP-szerver típusú válaszokat.
A DHCP-snooping funkciót beállításához, egy Catalyst 2960 kapcsolón, kövessük az alábbi lépéseket::
1. Engedélyezzük a DHCP-snooping funkciót a ip dhcp snooping globális konfigurációs paranccsal.
2. Engedélyezzük a DHCP-snooping funkciót egy adott VLAN-on a ip dhcp snooping vlan VLAN_azonosító parancs használatával.
3. Állítsuk be interfész konfigurációs módban a ip dhcp snooping trust paranccsal, hogy az adott port megbízható legyen.
4. Korlátozzuk a nem megbízható portokon a támadó által küldhető hamis DHCP-kérések számát az ip dhcp snooping limit rate kérések_száma paranccsal (opcionális).