Se si consente solo UN MAC attraverso una porta, non riesco a vedere come funzionerà DHCPstarv (a meno che non si tratti di una sorta di attacco DHCPStarv distribuito).
DHCPStarv funziona inviando molte petizioni DHCP in modo che il server non abbia nuovi IP da fornire ai nuovi client. Ma se puoi chiedere una sola volta non è probabile che l'attacco abbia successo.
Dopo il commento @RajesK ( ha trovato il link che risponde al suo propria domanda ) Aggiungo quanto segue:
Although one might think that countermeasures such as as Port Security
would be more than enough to prevent such attacks, that is not true
with tools like Yersinia or dhcpstarv. This is because Port Security
only considers the MAC source of the frame to create filters and then
set accordingly what MAC addresses are allowed on a specific port
(useful against MAC flooding attacks). The problem here is that these
tools do not change this MAC (as eg macof does), but randomize the
field Client Hardware Address (CHADDR) inside the DHCP payload. This
field, along with the client identifier, is of great importance as it
will be used (see RFC 2131) by the server to distinguish between the
various requests of different customers. Without that, it would be
difficult to distinguish between the various users when using a DHCP
Relay Agent.
Ciò significa che il problema è che il protocollo DHCP stesso non si basa sul MAC del client che richiede il nuovo IP ma per il campo CHADDR all'interno del protocollo DHCP, quindi, proprio dallo stesso MAC, si può chiedere per migliaia di petizioni semplicemente cambiando il campo CHADDR.
La soluzione è nello stesso link:
Fortunately, DHCP Snooping is clever enough to read the payload of the
DHCP protocol and verify that the source MAC address and CHADDR are
the same (optional command ip dhcp snooping verify mac-address). It is
also possible to set a “maximum threshold“, or number of packets per
second that the switch can receive in a given port so, if the number
of DHCP packets reaches this threshold, the port enters the shutdown
mode (blocking) and it would generate a warning about the DoS.
Ora stai confrontando l'indirizzo MAC reale con quello all'interno del protocollo DHCP in modo che quando ne trovi uno diverso, scarti semplicemente il pacchetto.
Dicendo questo dovresti continuare a tenere a mente i commenti di @polynomial.