尝试/release与/renew直到得到正确信息。
提醒:这种方法治标不治本,反复尝试的次数没有保证,另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息,故障仍然会出现。
2、通过“域”的方式对非法DHCP服务器进行过滤将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCPServer发送DHCPINFORM查询包,如果其他DHCP Server响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP
服务器 要高。这样当合法DHCP存在时非法的就不起任何作用了。
提醒:这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”
对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法,效果
也不错,但不太适合实际情况。
3、在路由交换设备上封端口 ,DHCP服务主要使用的是UDP的67和68端口,DHCP服
务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器上保留服务器的68端口,封闭客户机的68端口,就能达到过滤非法DHCP服务器的目的。
提醒:如果计算机很多的话,操作起来不方便,而且会增加路由器的负担,影响到网络速度。
4、查出非法DHCP服务器幕后黑手,进行屏蔽DHCP服务器也充当着网关的作用,如果获得了非法网关地址,也就是知道了非法DHCP服务器的IP地址。通过ping ip 查到主机名,通过arp 主机名查出MAC地址。知道了MAC地址,就可以在路由器中屏蔽这个MAC,或
者是屏蔽该MAC的68端口。或者其他的方法都行,幕后黑手都找到了,怎么处置就随便了。
防DHCP服务器仿冒功能典型配置举例
Switch的端口Ethernet1/0/1与DHCP服务器端相连,端口Ethernet1/0/2,Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。
在Switch上开启DHCP Snooping功能。
在端口Ethernet1/0/2,Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时,发送Trap信息;当端口Ethernet1/0/3上发现仿冒DHCP服务器时,进行管理down操作。
为了避免攻击者对探测报文进行策略过滤,配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111(不同于交换机的桥MAC地址)。
# 开启DHCP Snooping功能。
<Switch>system-view
Enter system view, return to user view with Ctrl+Z.
[Switch] dhcp-snooping
# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。
[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111
# 在端口Ethernet1/0/2上使能防DHCP服务器功能。
[Switch] interface ethernet1/0/2
[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable
# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。
[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap
[Switch-Ethernet1/0/2] quit
# 在端口Ethernet1/0/3上使能防DHCP服务器功能。
[Switch] interface ethernet1/0/3
[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable
# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。
[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown
有些交换机不支持这种操作,可以开启dhcp snooping后将连了合法dhcp的端口设为trust。
你要知道非法DHCP服务
首先要知道
每台电脑的
MAC地址..
然后在用局域网软件扫描,
查出该台电脑,
或者直接用
P2P终结者
断他网
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)