解讀非法DHCP服務(wù)
在我們建設(shè)網(wǎng)絡(luò)中,安全一直是重中之重。那么對于非法DHCP服務(wù)器所帶來的影響大家是否清楚呢?那么都會發(fā)生什么樣的非法DHCP服務(wù)器問題呢?這里我們就來主要講解一下如何解決局域網(wǎng)非法DHCP服務(wù)器的問題。
最近公司里部分計算機(jī)頻繁出現(xiàn)不能上網(wǎng)的問題,這些計算機(jī)都是自動獲得IP的,但經(jīng)過檢查我發(fā)現(xiàn)他們獲得的網(wǎng)關(guān)地址是錯誤的,按照常理DHCP不會把錯誤的網(wǎng)關(guān)發(fā)送給客戶端計算機(jī)的。后來我使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后,用ipconfig /renew可以獲得真實的網(wǎng)關(guān)地址,而大部分獲得的仍然是錯誤的數(shù)據(jù)。所以我斷言局域網(wǎng)中肯定存在其他的DHCP服務(wù)器,也叫做非法DHCP服務(wù)器。為什么真正的DHCP服務(wù)器分配的網(wǎng)絡(luò)參數(shù)無法正確傳輸?shù)娇蛻魴C(jī)上呢?
首先來了解下DHCP的服務(wù)機(jī)制:
一般公司內(nèi)部都會有一個DHCP服務(wù)器來給客戶端計算機(jī)提供必要的網(wǎng)絡(luò)參數(shù)信息的,例如IP地址,子網(wǎng)掩碼,網(wǎng)關(guān),DNS等地址,很多情況路由器就可以擔(dān)當(dāng)此重任。每次客戶端計算機(jī)啟動后都會向網(wǎng)絡(luò)中發(fā)送廣播包尋找DHCP服務(wù)器(前提是該計算機(jī)被設(shè)置為自動獲得IP地址),廣播包隨機(jī)發(fā)送到網(wǎng)絡(luò)中,當(dāng)有一臺DHCP服務(wù)器收到這個廣播包后就會向該包源MAC地址的計算機(jī)發(fā)送一個應(yīng)答信息,同時從自己的地址池中抽取一個IP地址分配給該計算機(jī)。
為什么非法DHCP會被客戶端計算機(jī)認(rèn)為是合法的?
根據(jù)DHCP的服務(wù)機(jī)制,客戶端計算機(jī)啟動后發(fā)送的廣播包會發(fā)向網(wǎng)絡(luò)中的所有設(shè)備,究竟是合法DHCP服務(wù)器還是非法DHCP服務(wù)器先應(yīng)答是沒有任何規(guī)律的,客戶端計算機(jī)也沒有區(qū)分合法和非法的能力。這樣網(wǎng)絡(luò)就被徹底擾亂了,原本可以正常上網(wǎng)的機(jī)器再也不能連接到intelnet。
解決方法:
1、ipconfig /release 和 ipconfig /renew
我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題,直到客戶機(jī)可以得到真實的地址為止。即先使用ipconfig /release釋放非法網(wǎng)絡(luò)數(shù)據(jù),然后使用ipconfig /renew嘗試獲得網(wǎng)絡(luò)參數(shù),如果還是獲得錯誤信息則再次嘗試/release與/renew直到得到正確信息。
提醒:這種方法治標(biāo)不治本,反復(fù)嘗試的次數(shù)沒有保證,另外當(dāng)DHCP租約到期后客戶端計算機(jī)需要再次尋找DHCP服務(wù)器獲得信息,故障仍然會出現(xiàn)。
2、通過“域”的方式對非法DHCP服務(wù)器進(jìn)行過濾
將合法的DHCP服務(wù)器添加到活動目錄(Active Directory)中,通過這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCP Server在相應(yīng)請求前,會向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCPINFORM查詢包, 如果其他DHCP Server有響應(yīng),那么這個DHCP Server就不能對客戶的要求作相應(yīng),也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時非法的就不起任何作用了。
提醒:這種方法效果雖然不錯,但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用,基本上使用工作組就足以應(yīng)對日常的工作了。所以這個方法,效果也不錯,但不太適合實際情況。
3、在路由交換設(shè)備上封端口
DHCP服務(wù)主要使用的是UDP的67和68端口,DHCP服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口,67端口為客戶機(jī)發(fā)送請求時使用。所以我們可以在路由器上保留服務(wù)器的68端口,封閉客戶機(jī)的68端口,就能達(dá)到過濾非法DHCP服務(wù)器的目的。
提醒:如果計算機(jī)很多的話,操作起來不方便,而且會增加路由器的負(fù)擔(dān),影響到網(wǎng)絡(luò)速度。
4、查出非法DHCP服務(wù)器幕后黑手,進(jìn)行屏蔽
DHCP服務(wù)器也充當(dāng)著網(wǎng)關(guān)的作用,如果獲得了非法網(wǎng)關(guān)地址,也就是知道了非法DHCP服務(wù)器的IP地址。通過ping ip 查到主機(jī)名,通過arp 主機(jī)名 查出MAC地址。知道了MAC地址,就可以在路由器中屏蔽這個MAC,或者是屏蔽該MAC的68端口。或者其他的方法都行,幕后黑手都找到了,怎么處置就隨你了。我用的就是這第4種方法。
