IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)管理 → 內(nèi)網(wǎng)非法DHCP的處理

內(nèi)網(wǎng)非法DHCP的處理

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

  現(xiàn)在的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu),基本上都是內(nèi)網(wǎng)外網(wǎng)并存。那么在使用DHCP服務(wù)器的時(shí)候,就有可能出現(xiàn)內(nèi)網(wǎng)非法DHCP服務(wù)器等相關(guān)的問(wèn)題。所以這里我們就來(lái)詳細(xì)探討一下有關(guān)內(nèi)容。如果公司內(nèi)網(wǎng)由于用戶自行安裝了Windows Server版本的操作系統(tǒng)而小心啟用了DHCP服務(wù),或其他因素在內(nèi)網(wǎng)中出現(xiàn)了非授權(quán)的DHCP服務(wù)器,會(huì)給網(wǎng)絡(luò)造成什么樣的影響呢?

  DHCP server可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù),簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置,提高了管理效率。但是,此時(shí)如果服務(wù)器和客戶端沒(méi)有認(rèn)證機(jī)制,網(wǎng)絡(luò)上存在的非法的DHCP服務(wù)器將會(huì)給部分主機(jī)的地址分配、網(wǎng)關(guān)及DNS參數(shù)照成混亂,導(dǎo)致主機(jī)無(wú)法連接到外部網(wǎng)絡(luò)。出現(xiàn)這種情況,如何解決這些問(wèn)題呢?

  作為客戶端計(jì)算機(jī)來(lái)說(shuō),可以嘗試使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后,然后用ipconfig /renew重新嘗試獲取正確的DHCP服務(wù)器配置服務(wù),但這種方法很被動(dòng),往往要十幾次甚至幾十次才偶爾有可能成功一次,不能從根本解決問(wèn)題。

  另外一個(gè)解決辦法,在windows系統(tǒng)組建的網(wǎng)絡(luò)中,如果內(nèi)網(wǎng)非法DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過(guò)"域"的方式對(duì)非法DHCP服務(wù)器進(jìn)行過(guò)濾。將合法的DHCP服務(wù)器添加到活動(dòng)目錄(Active Directory)中,通過(guò)這種認(rèn)證方式就可以有效的制止內(nèi)網(wǎng)非法DHCP服務(wù)器了。原理就是沒(méi)有加入域中的DHCP Server在相應(yīng)請(qǐng)求前,會(huì)向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCPINFORM查詢包,如果其他DHCP Server有響應(yīng),那么這個(gè)DHCP Server就不能對(duì)客戶的要求作相應(yīng),也就是說(shuō)網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級(jí)比沒(méi)有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非法的就不起任何作用了。

  授權(quán)合法DHCP的過(guò)程如下:

  第一步:開(kāi)始->程序->管理工具->DHCP

  第二步:選擇DHCP root, 用鼠標(biāo)右鍵單擊,然后瀏覽選擇需要認(rèn)證的服務(wù)器。

  第三步:點(diǎn)"添加"按鈕, 輸入要認(rèn)證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。

  但是該方法只適用于內(nèi)網(wǎng)非法DHCP服務(wù)器是windows系統(tǒng),需要用到域和活動(dòng)目錄,配置較復(fù)雜,另外對(duì)于非Windows的操作系統(tǒng),就顯得力不從心了。

  還有更好的方法,就是利用交換機(jī)的DHCP監(jiān)聽(tīng),通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息,也就是過(guò)濾掉非法DHCP服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包。首先定義交換機(jī)上的信任端口和不信任端口,將DHCP服務(wù)器所連接的端口定義為信任端口,其它連接到普通客戶端的端口全部定義為不信任端口,對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探,drop掉來(lái)自這些端口的非正常 DHCP 報(bào)文,從而達(dá)到過(guò)濾內(nèi)網(wǎng)非法DHCP服務(wù)器的目的。

  基本配置示例:

  switch(config)#ip dhcp snooping vlan 100,200

  /* 定義哪些 VLAN 啟用 DHCP 嗅探

  switch(config)#ip dhcp snooping

  switch(config)#int fa4/10 /* dhcp服務(wù)器所在端口

  switch(config-if)#ip dhcp snooping trust

  switch(config)#int range fa3/1 - 48 /* 其它端口

  switch(config-if)#no ip dhcp snooping trust (Default)

  switch(config-if)#ip dhcp snooping limit rate 10 (pps)

  /* 一定程度上防止 DHCP 拒絕服務(wù)攻擊

關(guān)鍵詞標(biāo)簽:DHCP

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量