Il a pour objectif de supprimer du réseau les requêtes DHCP qui ne sont pas légitimes.

Il doit connaître :

• Les sources DHCP “fiables”
• Les connexions de ces sources

Il observe les requêtes DHCP et :

• Valide les messages DHCP provenant de sources non fiables et filtre les messages invalides
• Construit et maintient la base de données de liaison DHCP Snooping, qui contient des informations sur les hôtes non fiables avec des adresses IP louées.
• Utilise la base de données de liaison DHCP Snooping pour valider les requêtes ultérieures des hôtes non fiables.

DHCP Snooping catégorise généralement les interfaces sur le switch en deux catégories :

• Les ports “trusted” (de confiance)
• Les ports “untrusted” (non fiables)

Il permet d'éviter les attaques de type :

• DHCP Spoofing (usurpation d'identité DHCP)
• DHCP Starvation (attaque par épuisement de ressources)

Il ne s'adresse qu'aux réseaux câblés.