DHCP Snooping یک روش امنیتی برای مقابله با حملات مربوط به DHCP است.
متداول‌ترین حملات مربوط به DHCP عبارتند از DHCP starvation و DHCP spoofing.

در این حمله مهاجم با ارسال (broadcast) تعداد زیادی بسته‌های درخواست آدرس IP یا DHCP REQUEST با آدرس‌های MAC جعلی سعی می‌کند که Pool آدرس‌های سرور DHCP را در زمان کوتاهی خالی کند به گونه‌ای که این سرور قادر به اختصاص آدرس IP به کلاینت‌ها نباشد. این حمله مقدمه‌ی حمله‌ی DHCP spoofing است.

در این حمله، که بعد از حمله DHCP starvation انجام می‌شود، مهاجم یک سرور DHCP جعلی با پیکربندی متفاوت از سرور اصلی راه‌اندازی می‌کند. این پیکربندی متفاوت شامل گیت‌وی و DNS متفاوت است. به عنوان مثال گیت‌وی جدید می‌تواند سیستم خود مهاجم باشد. در این حالت ترافیک‌ کاربران سمت سیستم مهاجم ارسال می‌شود و او می‌تواند حمله man-in-the-middle را انجام دهد. در این حمله مهاجم می‌تواند یک سرور DNS جعلی راه‌اندازی کند و کاربران را سمت یک وب سایت جعلی هدایت کرده و حمله فیشینگ را نیز انجام دهد.

برای مقابله با حملات مذکور DHCP Snooping باید پیاده‌سازی شود. در این روش ابتدا پورت مربوط به سرور DHCP شناسایی و در حالت Trusted قرار می‌گیرد و بقیه پورت‌ها در حالت Untrusted قرار می‌گیرند. سوئیچ در صورتی که بسته‌های مربوط به سرور DHCP را از پورت Untrust دریافت کند آن را drop می‌کند.

در این روش سوئیچ با چک کردن بسته‌های سرور DHCP جدولی به نام Binding Table می‌سازد که حاوی Mac Address، آدرس IP، شماره ویلن و شماره پورت است. در صورتی که سوئیچ بسته‌هایی از آی‌پی و MAC اشتباه دریافت کند، آن‌ها را drop می‌کند.