如何保護合法的DHCP服務器
具有一定規模的企業網絡,一般會部署DHCP服務器來為客戶端提供網絡服務,這大大方便了網絡管理。客戶端連入網絡后會發送DHCP請求包,DHCP服務器會應答并提供IP地址、子網掩碼、網關,DNS等信息。但是,而當網絡中出現另外一臺非法的DHCP服務器將會怎樣呢?顯而易見,這必然造成網絡的混亂。“內鬼”難防,下面筆者結合自己的經驗談談如何在局域網中保護合法的DHCP服務器。
1、客戶端不斷請求
既然廣播包會發向網絡中的所有設備,合法還是非授權服務器先應答是沒有任何規律的,那么我們可以通過多次嘗試廣播包的發送來臨時解決這個問題,直到客戶機可以得到真實的地址為止。
客戶端在命令行中先敲入命令“ipconfig /release”釋放非授權網絡數據,然后輸入命令“ipconfig /renew”嘗試獲得網絡參數。如果還是獲得錯誤信息則再次嘗試上面兩條命令,直到得到正確信息。不過這種方法治標不治本,反復嘗試的次數沒有保證,一般都需要十幾次甚至是幾十次,另外當DHCP租約到期后客戶端需要再次尋找DHCP服務器獲得信息,故障仍然會出現。
2、通過DC對DHCP授權
一般我們使用的操作系統都是Windows,微軟為我們提供了一個官方解決辦法。在windows系統組建的網絡中,如果非授權DHCP服務器也是用Windows系統建立的話我們可以通過“域”的方式對非授權DHCP服務器進行過濾。將合法的DHCP服務器添加到活動目錄(Active Directory)中,通過這種認證方式就可以有效的制止非授權DHCP服務器了。
原理就是沒有加入域中的DHCP Server在相應請求前,會向網絡中的其他DHCP Server發送DHCP INFORM查詢包,如果其他DHCP Server有響應,那么這個DHCP Server就不能對客戶的要求作相應,也就是說網絡中加入域的DHCP服務器的優先級比沒有加入域的DHCP服務器要高。這樣當合法DHCP存在時非授權的就不起任何作用了。
授權合法DHCP的過程如下:“開始→程序→管理工具→DHCP”,選擇DHCP, 用鼠標右鍵單擊選擇“添加服務器”,然后瀏覽選擇需要認證的服務器。點“添加”按鈕, 輸入要認證的DHCP服務器IP地址, 完成授權操作。 (圖1)
|
|
這種方法效果雖然不錯,但需要域的支持。要知道對于眾多中小企業來說“域”對他們是大材小用,基本上使用工作組就足以應對日常的工作了。所以這個方法是微軟推薦的,效果也不錯,但不太適合實際情況。另外該方法只適用于非授權DHCP服務器是windows系統,對非Windows的操作系統甚至是NT4這樣的系統都會有一定的問題。
您正在閱讀:如何保護合法的DHCP服務器
【編輯推薦】
