在托管的 Cisco 有线解决方案中，您通常会发现 ip dhcp 侦听与 ip arp 检查和 ip 源保护结合使用。

虽然前段时间在谷歌搜索相同的解决方案时，我看到其他供应商也提供了出色的保护，防止 dhcp 饥饿攻击、mac 地址欺骗和凸轮表溢出攻击。

猜猜答案是许多因素的组合，例如可管理的企业访问交换机、打好补丁/配置良好的 dhcpd 服务器以及可以记录网络中正在发生的事情的良好 syslog 服务器。

一些更复杂的 DHCP 解决方案将使用 ping 或其他活动指标来衡量实际租约使用情况，而不是始终为整个租约保留地址（指望表现不佳的客户端，就像您提出的那样）。这将允许他们验证和维护仍在使用的租约，并收回发给恶意行为者的租约。大多数（尤其是基本的）将简单地到达保留块的末尾并停止响应请求，直到租用到期。所以，是的，基于租约耗尽的 DOS 在大多数网络上是很可能的。但是，其他形式的 DOS 更加顽皮（例如占用所有上行链路带宽，或攻击实际主机），因此大多数攻击者不会费心给 DHCP 造成问题，因此很少考虑缓解对策。