天下网吧 >> 网吧方案 >> 整体方案 >> 正文

局域网中非法搭建DHCP服务故障详细探讨

67154">

  (2)、“揪”出非法的DHCP服务

  1、DHCP服务器也充当着网关的作用,如果获得了非法网关地址,也就是知道了非法DHCP服务器的IP地址。通过ping (非法的DHCP服务)IP,通过arp -A查出MAC地址。知道了MAC地址,就可以在路由器中屏蔽这个MAC,或者是屏蔽该MAC的68端口。

  2、如果是设置了无线路由的路由功能,那么通过以上方法查找的只能是无线路由器的LAN的MAC,而在中心路由器A中所能控制的只能是它的WAN端口了。这里提供一个小技巧:一般来讲,无线路由器的LAN端口MAC和WAN端口MAC是连着的,即最后二位数是连着的。如下图所示

  其实我们在方法1得到的MAC是LAN的,但要在中心路由器A要封掉的MAC应该是WAN MAC了。这样只要在中心路由器A的ARP缓存表找到与LAN MAC最接近的MAC即是了。

  三、从技术上限制非法DHCP的产生

  1、通过“域”的方式对非法DHCP服务器进行过滤

  将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包, 如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。

  提醒:这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法,效果也不错,但不太适合实际情况。

  2、在路由交换设备上封端口

  DHCP服务主要使用的是UDP的67和68端口,DHCP服务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器上保留服务器的68端口,封闭客户机的68端口,就能达到过滤非法DHCP服务器的目的。

  提醒:如果计算机很多的话,操作起来不方便,而且会增加路由器的负担,影响到网络速度。

  凡是提供DHCP服务的服务器都必须设置固定IP地址,想在动态获得IP信息的计算机上启用DHCP服务是不可以的。而且虽然微软公司在限制DHCP服务上做了规定,例如同一个网络中不容许两台DHCP存在。


本文来源:天下网吧 作者:网吧方案

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下