Sécurisation contre le DHCP Spoofing · Switch Cisco · Packet Tracer
📚 Matière
Cyber-Sécurité
📅 Date
4 décembre 2025
☑️ État
✓ Terminé
🔧 Outil
Cisco Packet Tracer
📍 VLAN
VLAN 4
🎯
Objectif : sécuriser le réseau local contre les attaques de DHCP Spoofing en empêchant les serveurs DHCP non autorisés de distribuer des adresses IP aux hôtes. Le DHCP Snooping permet au switch d'identifier les ports de confiance (trusted) sur lesquels les réponses DHCP sont autorisées.
Le protocole DHCP (Dynamic Host Configuration Protocol) attribue automatiquement à un client : une adresse IP, un masque de sous-réseau, une passerelle par défaut et éventuellement des serveurs DNS.
Le processus se déroule en 4 étapes (DORA) :
1
DHCP Discover — le client diffuse une requête broadcast pour trouver un serveur DHCP disponible sur le réseau.
2
DHCP Offer — les serveurs DHCP disponibles répondent avec une proposition de configuration (IP, masque, passerelle...).
3
DHCP Request — le client accepte une offre et envoie une demande formelle au serveur choisi.
4
DHCP Ack — le serveur confirme et valide définitivement l'attribution de la configuration réseau.
⚠️ AttaquePrincipe du DHCP Spoofing
Un serveur DHCP pirate peut également répondre aux requêtes Discover des clients et fournir une configuration réseau malveillante.
☠️
Un serveur DHCP malveillant peut distribuer aux clients : une mauvaise passerelle (redirection du trafic vers l'attaquant), de faux DNS (redirection vers des sites pirates), ou une IP incorrecte (déni de service). Cela constitue une faille de sécurité majeure permettant une attaque Man-in-the-Middle.
🛡️
Solution : DHCP Snooping — Le switch inspecte tous les échanges DHCP et n'autorise les réponses (Offer / Ack) que sur les ports déclarés comme trusted. Tous les autres ports sont untrusted par défaut.
2
🟢 Mise en DHCP des postes clients
PC1_DHCP et PC2_DHCP · Mode automatique
Packet TracerPassage des PC en mode DHCP
Dans Packet Tracer, cliquer sur le PC → onglet Desktop → IP Configuration → sélectionner DHCP.
PC
Port Switch
Mode
Résultat attendu
PC1_DHCP
Fa0/1
DHCP
IP obtenue automatiquement
PC2_DHCP
Fa0/2
DHCP
IP obtenue automatiquement
➡️ Les postes sont configurés pour recevoir dynamiquement une adresse IP depuis le serveur DHCP actif sur le réseau.
3
🟢 Configuration du serveur DHCP légitime
Service DHCP · Pool d'adresses · Packet Tracer
Serveur valideActivation du service DHCP et définition du pool
Dans Packet Tracer : cliquer sur le Serveur DHCP Valide → onglet Services → DHCP.
Paramètre
Valeur
Explication
Service
On
Active le serveur DHCP
Pool Name
serverPool
Nom du pool d'adresses
Default Gateway
0.0.0.0
Passerelle distribuée aux clients
Start IP Address
192.168.1.100
Première IP du pool
Subnet Mask
255.255.255.0
Masque /24
Max Users
10
Nombre max de clients servis
⚠️
Le serveur DHCP malveillant distribue des adresses dans le réseau 172.17.30.0/16 à partir de 172.17.30.100. Sans DHCP Snooping, les clients peuvent recevoir des adresses de ce serveur pirate.
➡️ Le serveur DHCP légitime est opérationnel — il distribue des IP dans la plage 192.168.1.100–109.
4
🟠 Vérification DHCP avant sécurisation
Observer la faille · ipconfig sur les PC
AvantVérification côté postes clients
Dans Packet Tracer : cliquer sur le PC → Desktop → Command Prompt.
Windows — PC client
! Afficher la configuration réseau actuelleipconfig! Résultat possible AVANT sécurisation (serveur légitime) :IP Address............: 192.168.1.100
Subnet Mask...........: 255.255.255.0
Default Gateway.......: 0.0.0.0! Résultat possible AVANT sécurisation (serveur malveillant) :IP Address............: 172.17.30.100
Subnet Mask...........: 255.255.0.0
Default Gateway.......: 0.0.0.0
ipconfigAffiche la configuration réseau actuelle du poste. Permet de vérifier depuis quel serveur DHCP l'adresse IP a été attribuée en contrôlant la plage d'adresses.
☠️
Si le PC reçoit une IP en 172.17.x.x, c'est le serveur DHCP malveillant qui a répondu en premier. Sans DHCP Snooping, le résultat est aléatoire selon lequel des deux serveurs répond en premier.
5
🔵 Activation du DHCP Snooping sur le switch
Global · VLAN · Option 82
Étape 1Activation globale du DHCP Snooping
Cette commande active la surveillance DHCP sur l'ensemble du switch. Sans cette commande, le switch laisse passer tous les échanges DHCP sans contrôle.
Cisco IOS — Switch
conf t! Activer le DHCP Snooping globalement sur le switchip dhcp snooping
ip dhcp snoopingActive le mécanisme de surveillance DHCP au niveau global. Le switch commence à inspecter tous les paquets DHCP transitant sur ses ports.
➡️ Le switch analyse désormais tous les échanges DHCP.
Étape 2Activation sur un VLAN spécifique
Le DHCP Snooping doit être activé sur le ou les VLAN(s) à protéger. Sans cette commande, même si le DHCP Snooping est activé globalement, il ne filtre rien.
Cisco IOS — Switch
! Activer le DHCP Snooping sur le VLAN 4ip dhcp snooping vlan4! Pour plusieurs VLANs :! ip dhcp snooping vlan 1,4,10
vlan 4Restreint le DHCP Snooping au VLAN 4 uniquement. Les échanges DHCP des autres VLANs ne sont pas filtrés. On peut spécifier plusieurs VLANs séparés par des virgules.
➡️ Seul le VLAN 4 est protégé par le DHCP Snooping.
Étape 3Activation de l'option 82Traçabilité
L'option 82 (DHCP Relay Agent Information) ajoute des informations d'identification dans les requêtes DHCP pour permettre leur traçabilité.
Cisco IOS — Switch
! Activer l'insertion de l'option 82 dans les trames DHCPip dhcp snooping information option
information optionInsère l'Option 82 dans les requêtes DHCP. Cette option contient le nom du switch et le port d'où provient la requête, permettant au serveur DHCP de tracer précisément quel port a demandé une IP.
➡️ Le switch ajoute des informations de traçabilité aux requêtes DHCP.
6
🟣 Déclaration des ports de confiance (trusted)
Interface Fa0/24 → serveur légitime · Limit rate
🔑
Principe : par défaut, tous les ports sont untrusted après activation du DHCP Snooping. Les ports trusted sont ceux connectés au serveur DHCP légitime ou à d'autres switches de confiance. Un port untrusted qui reçoit une réponse DHCP (Offer / Ack) voit le paquet bloqué et rejeté.
Étape 4Déclaration du port trusted (serveur DHCP légitime)
Sélectionner l'interface connectée au serveur DHCP autorisé et la déclarer comme port de confiance.
Cisco IOS — Switch
! Sélectionner l'interface connectée au serveur DHCP légitimeinterface fastethernet0/24! Déclarer ce port comme port de confiance! → Les réponses DHCP (Offer/Ack) sont autorisées sur ce portip dhcp snooping trustexit
fastethernet0/24Port du switch sur lequel est branché le serveur DHCP légitime. À adapter selon votre topologie (peut être Gi0/1, etc.).
ip dhcp snooping trustMarque ce port comme trusted. Les messages DHCP Offer et Ack reçus sur ce port sont transmis normalement aux clients. Sur tous les autres ports (untrusted), ces messages sont bloqués.
➡️ Les messages DHCP Offer et Ack sont acceptés uniquement depuis ce port — le serveur légitime peut répondre aux clients.
Étape 5Limitation du débit DHCP (anti-flood)
Cette commande protège contre les attaques par saturation DHCP (DHCP Flood / Starvation) en limitant le nombre de requêtes DHCP par seconde sur un port.
Cisco IOS — Switch
! Appliquer sur les ports clients (untrusted) — exemple sur Fa0/1interface fastethernet0/1! Limiter à 2 requêtes DHCP par seconde maximumip dhcp snooping limit rate2exit! Répéter sur tous les ports clients (Fa0/2, Fa0/3, etc.)interface fastethernet0/2ip dhcp snooping limit rate2exit
limit rate 2Autorise au maximum 2 requêtes DHCP par seconde sur ce port. Si le seuil est dépassé, le port est mis en err-disabled automatiquement (protection contre le DHCP Starvation qui vise à épuiser le pool d'adresses).
Ports clientsCette limitation s'applique aux ports untrusted (ports des PC). Ne pas l'appliquer sur le port trusted du serveur DHCP légitime car le serveur peut générer plus de 2 réponses/s.
➡️ Le port est protégé contre les attaques DHCP flood et DHCP Starvation.
ipconfig /renew · Test de stabilité · show dhcp snooping
PC clientRenouvellement de l'adresse IP
Forcer le poste à redemander une adresse IP — cette fois, seul le serveur DHCP légitime peut répondre.
Windows — PC client (Command Prompt)
! Renouveler l'adresse IP (forcer un nouveau cycle DORA)ipconfig /renew! Résultat attendu APRÈS sécurisation :IP Address............: 192.168.1.100
Subnet Mask...........: 255.255.255.0
Default Gateway.......: 0.0.0.0
DNS Server............: 0.0.0.0
ipconfig /renewForce le client à envoyer un nouveau DHCP Discover. Avec le DHCP Snooping actif, seul le port Fa0/24 (trusted) peut transmettre la réponse — les réponses du serveur malveillant sont bloquées sur son port untrusted.
➡️ Le poste reçoit une adresse IP uniquement depuis le serveur DHCP légitime (192.168.1.x).
SwitchVérification sur le switch
Vérifier la configuration et l'état du DHCP Snooping depuis le switch.
Cisco IOS — Switch
! Afficher l'état global du DHCP Snoopingshow ip dhcp snooping! Résultat attendu :DHCP snooping is configured on following VLANs: 4
DHCP snooping is operational on following VLANs: 4
Interface Trusted Rate limit (pps)
--------- ------- ----------------
FastEthernet0/24 yes unlimited
FastEthernet0/1 no 2
FastEthernet0/2 no 2! Afficher la table de liaison DHCP Snoopingshow ip dhcp snooping binding! Résultat attendu (après attribution IP) :MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ---------- ---- ----------
00:01:97:XX:XX:XX 192.168.1.100 86400 dhcp-snooping 4 Fa0/1
00:01:97:YY:YY:YY 192.168.1.101 86400 dhcp-snooping 4 Fa0/2
show ip dhcp snoopingAffiche la configuration du DHCP Snooping : VLANs actifs, liste des ports avec leur statut trusted/untrusted et leur limite de débit.
show ip dhcp snooping bindingAffiche la table de liaison : associe chaque adresse MAC à une IP DHCP, un VLAN et un port. Cette table est utilisée par d'autres mécanismes comme le Dynamic ARP Inspection (DAI).
Test stabilitéVérification de la stabilité
Répéter la commande ipconfig /renew plusieurs fois sur les deux PC.
✅
Si l'adresse IP ne change pas et reste dans la plage 192.168.1.x à chaque renouvellement, le DHCP Snooping fonctionne correctement. Le serveur malveillant est bien bloqué.
❌
Si le PC obtient une adresse en 172.17.x.x, vérifier que le DHCP Snooping est bien activé sur le bon VLAN et que Fa0/24 est bien déclaré trust.
✅
Conclusion — Points clés à retenir
Pour l'oral SISR
Élément
À retenir
DHCP Spoofing
Serveur DHCP pirate qui distribue de fausses configs réseau → Man-in-the-Middle
DHCP Snooping
Le switch inspecte les trames DHCP et bloque les réponses sur les ports untrusted
Port trusted
Port connecté au serveur DHCP légitime — autorise Offer et Ack
Port untrusted
Tous les autres ports par défaut — bloque les réponses DHCP
Option 82
Ajoute port + switch dans la trame DHCP pour la traçabilité
limit rate 2
Protection contre DHCP Starvation — max 2 requêtes/s par port
Vérification
show ip dhcp snooping + show ip dhcp snooping binding
🎯
Workflow DHCP Snooping en 5 étapes :
1. Configurer les PC en DHCP et le serveur légitime
2. Activer globalement : ip dhcp snooping + ip dhcp snooping vlan X
3. Déclarer le port du serveur légitime : ip dhcp snooping trust
4. Limiter les ports clients : ip dhcp snooping limit rate 2
5. Vérifier : ipconfig /renew sur les PC + show ip dhcp snooping binding