Le principe de fonctionnement du DHCP Snooping est simple. Etant donné que les requêtes DHCP Offer et DHCP ACK peuvent provenir uniquement des serveurs DHCP, il suffit donc de déterminer sur les commutateurs (switchs) les ports autorisés à diffuser ces requêtes.

De cette manière, seuls les ports configurés comme étant des ports de confiance (trusted port), pourrons renvoyer aux postes clients des configurations réseaux.

Comme vous pouvez le voir sur le schéma ci-dessus, toute requête DHCP Offer ou DHCP ACK provenant d’un port qui n’est pas de confiance (untrusted port) se verra supprimée par le commutateur auquel est relié ce serveur.

Le DHCP Snooping permet donc de renforcer considérablement la sécurité d’un réseau en lui permettant de se prémunir des attaques nécessitant l’utilisation d’un serveur DHCP pirate.