緣由：前段時(shí)間，朋友單位的局域網(wǎng)出現(xiàn)了一點(diǎn)問題要我?guī)兔纯?。?jù)朋友說(shuō)，最近單位部分科室的計(jì)算機(jī)頻繁出現(xiàn)不能上網(wǎng)的現(xiàn)象。詢問朋友得知這些計(jì)算機(jī)都是開啟了DHCP服務(wù)，自動(dòng)獲得IP，經(jīng)過排查發(fā)現(xiàn)他們的網(wǎng)關(guān)地址都出現(xiàn)了問題。正確的地址應(yīng)該是192.168.4.254，而這些故障計(jì)算機(jī)得到的網(wǎng)關(guān)地址卻是192.168.4.65。部分計(jì)算機(jī)使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，用ipconfig /renew可以獲得真實(shí)的網(wǎng)關(guān)地址，而大部分獲得的仍然是錯(cuò)誤的數(shù)據(jù)。

為什么真正的DHCP服務(wù)器分配的網(wǎng)絡(luò)參數(shù)無(wú)法正確傳輸?shù)娇蛻魴C(jī)上呢?原因很簡(jiǎn)單，網(wǎng)絡(luò)中存在了另一個(gè)DHCP服務(wù)器，這個(gè)DHCP服務(wù)器將非授權(quán)網(wǎng)絡(luò)信息分配給設(shè)置為自動(dòng)獲得IP地址的客戶機(jī)。真是“內(nèi)鬼”難防呀!下面就結(jié)合我的一些經(jīng)驗(yàn)談?wù)勗诰钟蚓W(wǎng)內(nèi)如何有效地防范非授權(quán)DCHP服務(wù)器。

一、預(yù)備知識(shí)：

一般公司內(nèi)部都會(huì)有一個(gè)DHCP服務(wù)器來(lái)給員工計(jì)算機(jī)提供必要的網(wǎng)絡(luò)參數(shù)信息的，例如IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，DNS等地址，很多情況路由器就可以擔(dān)當(dāng)此重任。每次員工計(jì)算機(jī)啟動(dòng)后都會(huì)向網(wǎng)絡(luò)中發(fā)送廣播包尋找DHCP服務(wù)器(前提是該計(jì)算機(jī)被設(shè)置為自動(dòng)獲得IP地址)，廣播包隨機(jī)發(fā)送到網(wǎng)絡(luò)中，當(dāng)有一臺(tái)DHCP服務(wù)器收到這個(gè)廣播包后就會(huì)向該包源MAC地址的計(jì)算機(jī)發(fā)送一個(gè)應(yīng)答信息，同時(shí)從自己的地址池中抽取一個(gè)IP地址分配給該計(jì)算機(jī)。

合法DHCP服務(wù)器可以提供正確的數(shù)據(jù)，非授權(quán)DHCP服務(wù)器則提供的是錯(cuò)誤的數(shù)據(jù)。我們?nèi)绾巫寙T工機(jī)器都通過合法DHCP服務(wù)器獲得網(wǎng)絡(luò)信息呢?如果是交換式網(wǎng)絡(luò)則沒有可能，因?yàn)閺V播包會(huì)發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非授權(quán)服務(wù)器先應(yīng)答是沒有任何規(guī)律的。這樣網(wǎng)絡(luò)就被徹底擾亂了，原本可以正常上網(wǎng)的機(jī)器再也不能連接到INTERNET。

二、防范策略：

1、消極防范：

既然廣播包會(huì)發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非授權(quán)服務(wù)器先應(yīng)答是沒有任何規(guī)律的，那么我們可以通過多次嘗試廣播包的發(fā)送來(lái)臨時(shí)解決這個(gè)問題，直到客戶機(jī)可以得到真實(shí)的地址為止。

先敲入如下命令：

ipconfig /release (該命令釋放非授權(quán)網(wǎng)絡(luò)數(shù)據(jù))

然后敲入如下命令：

ipconfig /renew (嘗試獲得網(wǎng)絡(luò)參數(shù))

如果還是獲得錯(cuò)誤信息則再次嘗試上面兩條命令，直到得到正確信息。不過這種方法治標(biāo)不治本，反復(fù)嘗試的次數(shù)沒有保證，一般都需要十幾次甚至是幾十次，另外當(dāng)DHCP租約到期后員工機(jī)需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會(huì)出現(xiàn)。

2、官方提供的辦法：

一般我們使用的操作系統(tǒng)都是Windows，微軟為我們提供了一個(gè)官方解決辦法。在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非授權(quán)DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對(duì)非授權(quán)DHCP服務(wù)器進(jìn)行過濾。將合法的DHCP服務(wù)器添加到活動(dòng)目錄(Active Directory)中，通過這種認(rèn)證方式就可以有效的制止非授權(quán)DHCP服務(wù)器了。

原理就是沒有加入域中的DHCP Server在相應(yīng)請(qǐng)求前，會(huì)向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCP INFORM查詢包,如果其他DHCP Server有響應(yīng)，那么這個(gè)DHCP Server就不能對(duì)客戶的要求作相應(yīng)，也就是說(shuō)網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級(jí)比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非授權(quán)的就不起任何作用了。

授權(quán)合法DHCP的過程如下：

第一步：開始->程序->管理工具->DHCP

第二步：選擇DHCP root, 用鼠標(biāo)右鍵單擊，然后瀏覽選擇需要認(rèn)證的服務(wù)器。

第三步：點(diǎn)“添加”按鈕, 輸入要認(rèn)證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。

這種方法效果雖然不錯(cuò)，但需要域的支持。要知道對(duì)于眾多中小企業(yè)來(lái)說(shuō)“域”對(duì)他們是大材小用，基本上使用工作組就足以應(yīng)對(duì)日常的工作了。所以這個(gè)方法是微軟推薦的，效果也不錯(cuò)，但不太適合實(shí)際情況。另外該方法只適用于非授權(quán)DHCP服務(wù)器是windows系統(tǒng)，對(duì)非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會(huì)有一定的問題。

最新評(píng)論