 如何限制非法DHCP服务器

 如何限制非法DHCP服务器,第1张

1、ipconfig /release 和 ipconfig /renew ,可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次

尝试/release与/renew直到得到正确信息。

提醒:这种方法治标不治本,反复尝试的次数没有保证,另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息,故障仍然会出现。

2、通过“域”的方式对非法DHCP服务器进行过滤将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCPServer发送DHCPINFORM查询包,如果其他DHCP Server响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP

服务器 要高。这样当合法DHCP存在时非法的就不起任何作用了。

提醒:这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”

对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法,效果

也不错,但不太适合实际情况。

3、在路由交换设备上封端口 ,DHCP服务主要使用的是UDP的67和68端口,DHCP服

务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器上保留服务器的68端口,封闭客户机的68端口,就能达到过滤非法DHCP服务器的目的。

提醒:如果计算机很多的话,操作起来不方便,而且会增加路由器的负担,影响到网络速度。

4、查出非法DHCP服务器幕后黑手,进行屏蔽DHCP服务器也充当着网关的作用,如果获得了非法网关地址,也就是知道了非法DHCP服务器的IP地址。通过ping ip 查到主机名,通过arp 主机名查出MAC地址。知道了MAC地址,就可以在路由器中屏蔽这个MAC,或

者是屏蔽该MAC的68端口。或者其他的方法都行,幕后黑手都找到了,怎么处置就随便了。

防DHCP服务器仿冒功能典型配置举例

Switch的端口Ethernet1/0/1与DHCP服务器端相连,端口Ethernet1/0/2,Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。

在Switch上开启DHCP Snooping功能。

在端口Ethernet1/0/2,Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时,发送Trap信息;当端口Ethernet1/0/3上发现仿冒DHCP服务器时,进行管理down操作。

为了避免攻击者对探测报文进行策略过滤,配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111(不同于交换机的桥MAC地址)。

# 开启DHCP Snooping功能。

<Switch>system-view

Enter system view, return to user view with Ctrl+Z.

[Switch] dhcp-snooping

# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。

[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111

# 在端口Ethernet1/0/2上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/2

[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。

[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap

[Switch-Ethernet1/0/2] quit

# 在端口Ethernet1/0/3上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/3

[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。

[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown

有些交换机不支持这种操作,可以开启dhcp snooping后将连了合法dhcp的端口设为trust。

你要知道

非法DHCP服务

首先要知道

每台电脑的

MAC地址..

然后在用局域网软件扫描,

查出该台电脑,

或者直接用

P2P终结者

断他网


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/226254.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-08
下一篇2023-04-08

发表评论

登录后才能评论

评论列表(0条)

    保存