<div dir="ltr"><div>Hello Kari,</div><div><br></div><div>I'm not sure about Kea, Kea hooks, or if someone is going to write a Kea hook for that, but there is no DHCP server that I know about that implements this outside-of-the-box. Actually, most or all effective solutions in network-originating layer 2 attacks are basically built on networking devices software and/or network monitoring software, or the least: manual troubleshooting.</div><div><br></div><div>If your switching equipment has a feature to help, then use it. If not, you can set a network monitoring software that analyzes DHCP DISCOVER messages and alert you if the rate from a specific MAC is abnormal, or the general rate on the network is abnormal. SolarWinds and PRTG come to mind.</div><div><br></div><div>--</div><div>MK<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 17, 2019 at 2:56 PM Kari Karvonen <<a href="mailto:kari.karvonen@kasenet.fi">kari.karvonen@kasenet.fi</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello<br>
<br>
If there is faulty DHCP-client on a network that keeps requesting IP's<br>
and after receiveing IP-offer client sends DHCPDECLINE and DHCP-server<br>
marks IP-address as declined for 24 hours. If client keeps repeating<br>
this, address after address will be marked as declined and soon entire<br>
DHCP-pool is exhausted.<br>
<br>
I looked Kea 1.5.0 user guide and found that it is possible to shorted<br>
decline time<br>
<br>
  "decline-probation-period": 3600<br>
<br>
But is there something else on dhcp-server side to prevent this kind of<br>
behaviour?<br>
<br>
-- <br>
Kari Karvonen<br>
Network specialist<br>
+358445557360<br>
<a href="http://www.kasenet.fi" rel="noreferrer" target="_blank">www.kasenet.fi</a><br>
_______________________________________________<br>
Kea-users mailing list<br>
<a href="mailto:Kea-users@lists.isc.org" target="_blank">Kea-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/kea-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/kea-users</a><br>
</blockquote></div>