Un aggressore può cercare anche di disturbare la rete fingendosi uno dei client esistenti e rifiutando le richieste del server DHCP in sua veste. Lo snooping DHCP utilizza quindi una banca dati, che viene creata e aggiornata dal sistema stesso. Il protocollo legge tutte le informazioni DHCP (ma non i dati effettivi dopo l'avvenuta connessione) ed estrae i dettagli per il database del Dhcp snooping.
Il sistema archivia nel database tutti gli host che sfruttano porte non attendibili. Le informazioni raccolte includono l'indirizzo MAC, l'indirizzo IP associato, la porta switch utilizzata, la sottorete (VLAN) e la durata del lease time. Questo permette al Dhcp snooping di garantire che solo i client originali, che hanno partecipato alla comunicazione, possano inviare comandi al server perché, solo in questi casi, l'indirizzo MAC e la porta switch del dispositivo corrispondono alle informazioni memorizzate nel database.