限制非法DHCP服務(wù)器的多種方法

限制非法DHCP服務(wù)器的多種方法［網(wǎng)友提問］最近公司里部分員工計(jì)算機(jī)頻繁出現(xiàn)不能上網(wǎng)的問題，這些計(jì)算機(jī)都是自動(dòng)獲得ip的，經(jīng)過(guò)排查發(fā)現(xiàn)他們的網(wǎng)關(guān)地址都出現(xiàn)了問題，正確的地址應(yīng)該是54,而這些故障計(jì)算機(jī)得到的網(wǎng)關(guān)地址卻是5。部分計(jì)算機(jī)使用ipconfig/release釋放獲得的網(wǎng)絡(luò)參數(shù)后，用ipconfig/renew可以獲得真實(shí)的網(wǎng)關(guān)地址，而大部分獲得的仍然是錯(cuò)誤的數(shù)據(jù)。為什么真正的DHCP服務(wù)器分配的網(wǎng)絡(luò)參數(shù)無(wú)法正確傳輸?shù)娇蛻魴C(jī)上呢？希望的高手能幫幫我。［解答］這位朋友遇到的問題確實(shí)是棘手的問題。原因很簡(jiǎn)單，網(wǎng)絡(luò)中存在了另一個(gè)DHCP服務(wù)器，這個(gè)DHCP服務(wù)器將非法網(wǎng)絡(luò)信息分配給設(shè)置為自動(dòng)獲得IP地址的客戶機(jī)。今天我就根據(jù)這個(gè)問題詳細(xì)的講解下如何有效的防范網(wǎng)內(nèi)非法DCHP服務(wù)器。1、非法DHCP帶來(lái)的災(zāi)害：一般公司內(nèi)部都會(huì)有一個(gè)DHCP服務(wù)器來(lái)給員工計(jì)算機(jī)提供必要的網(wǎng)絡(luò)參數(shù)信息的，例如IP地址，子網(wǎng)掩碼，網(wǎng)關(guān)，DNS等地址，很多情況路由器就可以擔(dān)當(dāng)此重任。每次員工計(jì)算機(jī)啟動(dòng)后都會(huì)向網(wǎng)絡(luò)中發(fā)送廣播包尋找DHCP服務(wù)器（前提是該計(jì)算機(jī)被設(shè)置為自動(dòng)獲得IP地址），廣播包隨機(jī)發(fā)送到網(wǎng)絡(luò)中，當(dāng)有一臺(tái)DHCP服務(wù)器收到這個(gè)廣播包后就會(huì)向該包源MAC地址的計(jì)算機(jī)發(fā)送一個(gè)應(yīng)答信息，同時(shí)從自己的地址池中抽取一個(gè)IP地址分配給該計(jì)算機(jī)。合法DHCP服務(wù)器可以提供正確的數(shù)據(jù)，非法DHCP服務(wù)器則提供的是錯(cuò)誤的數(shù)據(jù)。我們?nèi)绾巫寙T工機(jī)器都通過(guò)合法DHCP服務(wù)器獲得網(wǎng)絡(luò)信息呢？如果是交換式網(wǎng)絡(luò)則沒有可能，因?yàn)閺V播包會(huì)發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非法服務(wù)器先應(yīng)答是沒有任何規(guī)律的。這樣網(wǎng)絡(luò)就被徹底擾亂了，原本可以正常上網(wǎng)的機(jī)器再也不能連接到INTERNET。［NextPage］2、消極防范：既然廣播包會(huì)發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非法服務(wù)器先應(yīng)答是沒有任何規(guī)律的，那么我們可以通過(guò)多次嘗試廣播包的發(fā)送來(lái)臨時(shí)解決這個(gè)問題，直到客戶機(jī)可以得到真實(shí)的地址為止。問題中網(wǎng)友使用的方法就是此手段。即先使用ipconfig/release釋放非法網(wǎng)絡(luò)數(shù)據(jù)，然后使用ipconfig/renew嘗試獲得網(wǎng)絡(luò)參數(shù)，如果還是獲得錯(cuò)誤信息則再次嘗試/release與/renew直到得到正確信息。不過(guò)這種方法治標(biāo)不治本，反復(fù)嘗試的次數(shù)沒有保證，一般都需要十幾次甚全是幾十次，另外當(dāng)DHCP租約到期后員工機(jī)需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會(huì)出現(xiàn)。3、官方提供的辦法：一般我們使用的操作系統(tǒng)都是Windows，微軟為我們提供了一個(gè)官方解決辦法。在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非法DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過(guò)“域”的方式對(duì)非法DHCP服務(wù)器進(jìn)行過(guò)濾。將合法的DHCP服務(wù)器添加到活動(dòng)目錄(ActiveDirectory)中，通過(guò)這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCPServer在相應(yīng)請(qǐng)求前，會(huì)向網(wǎng)絡(luò)中的其他DHCPServer發(fā)送DHCPINFORM查詢包，如果其他DHCPServer有響應(yīng)，那么這個(gè)DHCPServer就不能對(duì)客戶的要求作相應(yīng)，也就是說(shuō)網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級(jí)比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非法的就不起任何作用了。授權(quán)合法DHCP的過(guò)程如下：第一步：開始->程序->管理工具->DHCP第二步：選擇DHCProot,用鼠標(biāo)右鍵單擊，然后瀏覽選擇需要認(rèn)證的服務(wù)器。第三步：點(diǎn)“添加”按鈕，輸入要認(rèn)證的DHCP服務(wù)器IP地址，完成授權(quán)操作。這種方法效果雖然不錯(cuò)，但需要域的支持。要知道對(duì)于眾多中小企業(yè)來(lái)說(shuō)“域”對(duì)他們是大材小用，基本上使用工作組就足以應(yīng)對(duì)日常的工作了。所以這個(gè)方法是微軟推薦的，效果也不錯(cuò)，但不太適合實(shí)際情況。另外該方法只適用于非法DHCP服務(wù)器是windows系統(tǒng)，對(duì)非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會(huì)有一定的問題。[NextPage]4、路由交換設(shè)備上封殺：有的路由交換設(shè)備自身功能比較強(qiáng)，例如具有extreme功能，他可以自動(dòng)抑制非法dhcp的數(shù)據(jù)包。如果沒有extreme功能我們?nèi)绾翁崆邦A(yù)防非法DHCP服務(wù)器的接入呢？首先需要對(duì)DHCP數(shù)據(jù)包使用的端口有所了解，DHCP服務(wù)主要使用的是UDP的67和68端口，服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口，67端口為客戶機(jī)發(fā)送請(qǐng)求時(shí)使用。所以我們可以在路由器和交換機(jī)上通過(guò)訪問控制列表來(lái)屏蔽除合法DHCP服務(wù)器以外的所有DHCP應(yīng)答包，也就是說(shuō)將68端口封閉。具體命令為“access-list108denyudpanyeq68any”。(如圖1)

n?qr-&n$FEitOECcr>tartlypAc：)cc^￡ian?qr-&n$FEitOECcr>tartlypAc：)cc^￡ian1^-p^cketspacketsuithanIjrp占cketwFtCcnCisrltCcQihfig>i-AECEsc：~~litE1USdanj^udi>yesiHnw?&Q白K1祝loy-inpMUflitch With!S"ivi3ind-SCi^vnlui?Fletch<ml^p^cluAtt<Jlia勺p&vtounlM^fliSeh?nljf ^ithmgre^tisr^or*C4hifiXfLogn*tchut (hitentrvLogR^tchK-?againstthi*entry^lineludinsInput^nteirfJi-ca-wltTjinLqh原甘pni^tnurih^rnntan上ffluenpnr-tnimbcrgluEnpreciBftEniieualuBinthi?rdngcofpartnuribersfliitEhllAtchHatch￡}meifatine-orange■占金仁萬(wàn)pdckctsuith?fivenTOSualuf1?CC?-n'Cditj 6--1￡1j1；1USdtiiiyLid。Myg68?hsl圖1點(diǎn)擊看大圖這種方法也同樣只對(duì)于WINDOWS操作系統(tǒng)的DHCP服務(wù)器有效，對(duì)于在其他操作系統(tǒng)上建立的DHCP服務(wù)器則無(wú)法完全過(guò)濾。而且大量的ACL也會(huì)降低路由交換設(shè)備的性能，使網(wǎng)絡(luò)速度受到一定的影響。5、另類方法干擾非法DHCP服務(wù)器：在實(shí)際使用中筆者發(fā)現(xiàn)了一個(gè)另類的方法，該方法和上面介紹的消極防范結(jié)合起來(lái)使用效果還算不錯(cuò)。這個(gè)方法就是只要知道非法的DHCP的IP，找臺(tái)電腦設(shè)置和他同樣的IP，能降低非法DHCP發(fā)放的數(shù)量，這樣在執(zhí)行ipconfig/release和ipconfig/renew時(shí)獲得合法網(wǎng)絡(luò)信息的概率大大提高。[NextPage]6、 行政方法：其實(shí)和眾多網(wǎng)絡(luò)管理方法一樣，制定規(guī)范合理嚴(yán)格的規(guī)章制度是減小網(wǎng)絡(luò)故障產(chǎn)生的最好手段。我們可以通過(guò)制度來(lái)約束網(wǎng)絡(luò)中非法服務(wù)的產(chǎn)生，對(duì)于提供非法服務(wù)的用戶給予行政上的處罰。7、 實(shí)打?qū)嵠帘畏欠―HCP服務(wù)器：文章的最后筆者將帶領(lǐng)各位讀者進(jìn)行一次實(shí)打?qū)嵉姆欠―HCP服務(wù)器屏蔽工作。第一步：知道了非法DHCP服務(wù)器的IP地址后使用ping-aip來(lái)反向查看他的計(jì)算機(jī)主機(jī)名。第二步：根據(jù)ARP命令查詢?cè)撚?jì)算機(jī)對(duì)應(yīng)的MAC地址，也可以到合法DHCP服務(wù)器上查看緩存池中該IP對(duì)應(yīng)的MAC地址。

小提示：屏蔽非法DHCP服務(wù)器一定要從MAC地址來(lái)入手，因?yàn)镮P地址可以修改而且自動(dòng)獲得IP的方法很多，獲得的參數(shù)也會(huì)產(chǎn)生變化。第三步：知道了MAC地址后登錄交換機(jī)執(zhí)行shmacaddress顯示所有MAC地址與交換機(jī)端口的對(duì)應(yīng)關(guān)系。（如圖2）see由右外口亍』nultIeascinfafar￡elei±ti!-duildcArdMACnatif"ian anditAtieontryrOutputnad1#HLdltiCJh±tnatIf"ifjhtIanfttAtsee由右外口亍』nultIeascinfafar￡elei±ti!-duildcArdMACnatif"ian anditAtieontryrOutputnad1#HLdltiCJh±tnatIf"ifjhtIanfttAtIeftj'n-sktitclilsllinacaddULarMacRddrasxa^i3>.4￡iE3-daaA圈削.彌".白能2!iB0A^4&E3.d?3Idd麻h?4G5J.白舶10MH>.4^E3-dSaS的日11?4路土11第7物lh.疝偵順0MH>t推弱-d解9aeAb.4&?-das*ia?b.4&E3.dMbSTATICSTATICSTATICSTATICSTATIC￡ThllCarmecSTATICSTATICSTATICSTATICST^TIdFo.rt±圖2點(diǎn)擊看大圖[NextPage]第四步：我們就可以從顯示的對(duì)應(yīng)關(guān)系列表中查看到該MAC對(duì)應(yīng)的端口號(hào)了，如果端口比較多還可以使用“shmacaddressadd0011.5b5c.6214”這樣的格式來(lái)查詢0011.5b5c.6214這個(gè)MAC地址對(duì)應(yīng)的端口。（如圖3）comktjM-lMitcIltiftlliHA￡:AddFUcAddresi.VartaHa巴Add^ei-tTdlileFUcAddresi.Varta械自h.』址2?怕勇comktjM-lMitcIltiftlliHA￡:AddFUcAddresi.VartaHa巴Add^ei-tTdlileFUcAddresi.Varta械自h.』址2?怕勇H"■巳Addresaes：Ifas1H"■巳Hddre±3i!>±far!<1SeHddrftlST*]llfi&YNAM：ieGlfly2tlidicrit^rlant1&YNAM：iePaAz^Itills,qfite-rlan^1Addride TaIiIa10tutalhacAddaddflHfili.h-llif.Jid4210ItJu-5UitC]ifl圖3點(diǎn)擊看大圖第五步：找到對(duì)應(yīng)的端口后通過(guò)int命令進(jìn)入該接口，然后使用shutdown關(guān)閉該接口，從而阻斷了該計(jì)算機(jī)與外界的聯(lián)系。（如圖4）

comJu-iu 1^-if>S9.3iutdaunurr-yutiuetw-rins|-].initudld±ea'tjleie-xialsJiLiitdauihftninp-f^urnnini^-Cre-eipeed3comJu-iu 1^-if>S9.3iutdaunurr-yutiuetw-rins|-].initudld±ea'tjleie-xialsJiLiitdauihftninp-f^urnnini^-Cre-eipeed3：tairH-c.Qratro1te*n,LlneautitriRanlt-int&rfaco-Canfl^u9de勺口含Serulsi：Pulley^liutdokrntheaelentedllnter￥di±ieHadifSNnl* ^Ar&neteiKln^|Treg￡uiH.yit￡RCanf±^￡deiiperAtian.±tarncanflanSftt mdaczSuirACterlatiaatc.*nhevwar^￡lefIriiEtimeaiutuaIusi?隹『thia.Interfaiee!向墨！11事估atransnltinter/aceta西rec-elui&-anInteFfjic.eCaafPfile-v&l wlnigUnitCanfi^u^eUDLD此估占hl自』disAhledAndIgniaFeyIqJia1bnliHsettinrjiGar^riyufeueiyhtedMLind-rchinbxntqueuesftjIw-sifctitcSktesirafig|-lfJna-hL-itijliown?如「，圖4點(diǎn)擊看大圖這種方法存在一個(gè)問題，那就是如果使用的是集線器連接下方設(shè)備時(shí)，會(huì)在交換機(jī)上的一個(gè)端口學(xué)習(xí)到多個(gè)MAC地址，如果我們直接將該端口通過(guò)shutdown命令關(guān)閉的話，則集線器連接的所有設(shè)備都無(wú)法使用網(wǎng)絡(luò)了。遇到這種情況我們可以使用基于MAC地址的訪問控制列表來(lái)控制。具體命令為：macaccesss-listextendedsofterdenyho