Ein Angreifer kann aber auch versuchen, das Netzwerk zu stören, indem er sich als einer der bestehenden Clients ausgibt und als dieser Angebote des DHCP-Servers ablehnt. DHCP-Snooping nutzt daher eine Datenbank, die vom System selbstständig angelegt und aktualisiert wird. Das Protokoll liest alle DHCP-Informationen mit (nicht allerdings die tatsächlichen Daten nach der erfolgreichen Verbindung) und zieht hieraus Details für die DHCP-Snooping-Binding-Database.
Das System nimmt sämtliche Hosts in die Datenbank auf, die über einen nicht vertrauenswürdigen Port laufen. Die gesammelten Informationen umfassen die MAC-Adresse, die zugeordnete IP-Adresse, den verwendete Switchport, das logische Teilnetz (VLAN) und die Dauer der Lease Time. So kann DHCP-Snooping sicherstellen, dass nur die originalen Clients, die an der Kommunikation teilgenommen haben, Befehle an den Server senden können. Denn nur bei diesen stimmen MAC-Adresse und Switchport des Geräts mit den in der Datenbank gespeicherten Informationen überein.