3、路由交換設備上封殺：

有的路由交換設備自身功能比較強，例如具有extreme功能，他可以自動抑制非授權dhcp的數據包。如果沒有extreme功能我們如何提前預防非授權DHCP服務器的接入呢?

首先需要對DHCP數據包使用的端口有所了解，DHCP服務主要使用的是UDP的67和68端口，服務器端應答數據包使用68端口，67端口為客戶機發(fā)送請求時使用。所以我們可以在路由器和交換機上通過訪問控制列表來屏蔽除合法DHCP服務器以外的所有DHCP應答包，也就是說將68端口封閉。

具體命令為： access-list 108 deny udp any eq 68 any (圖1)

圖1

這種方法也同樣只對于WINDOWS操作系統(tǒng)的DHCP服務器有效，對于在其他操作系統(tǒng)上建立的DHCP服務器則無法完全過濾。而且大量的ACL也會降低路由交換設備的性能，使網絡速度受到一定的影響。

4、另類方法干擾非授權DHCP服務器：

在實際使用中筆者發(fā)現了一個另類的方法，該方法和上面介紹的消極防范結合起來使用效果還算不錯。這個方法就是只要知道非授權的DHCP的IP，找臺電腦設置和他同樣的IP，能降低非授權DHCP發(fā)放的數量，這樣在執(zhí)行ipconfig /release和ipconfig /renew時獲得合法網絡信息的概率大大提高。

5、行政方法：

其實和眾多網絡管理方法一樣，制定規(guī)范合理嚴格的規(guī)章制度是減小網絡故障產生的最好手段。我們可以通過制度來約束網絡中非授權服務的產生，對于提供非授權服務的用戶給予行政上的處罰。

6、實打實屏蔽非授權DHCP服務器：

操作步驟如下：

第一步：知道了非授權DHCP服務器的IP地址后使用ping -a ip來反向查看他的計算機主機名。

第二步：根據ARP命令查詢該計算機對應的MAC地址，也可以到合法DHCP服務器上查看緩存池中該IP對應的MAC地址。

(提示：屏蔽非授權DHCP服務器一定要從MAC地址來入手，因為IP地址可以修改而且自動獲得IP的方法很多，獲得的參數也會產生變化。)

第三步：知道了MAC地址后登錄交換機執(zhí)行sh mac address顯示所有MAC地址與交換機端口的對應關系。(圖2)

圖2

第四步：我們就可以從顯示的對應關系列表中查看到該MAC對應的端口號了，如果端口比較多還可以使用“sh mac address add 0011.5b5c.6214”這樣的格式來查詢0011.5b5c.6214這個MAC地址對應的端口。(如圖3)

圖3

第五步：找到對應的端口后通過int命令進入該接口，然后使用shutdown關閉該接口，從而阻斷了該計算機與外界的聯系。(如圖4)

圖4

這種方法存在一個問題，那就是如果使用的是集線器連接下方設備時，會在交換機上的一個端口學習到多個MAC地址，如果我們直接將該端口通過shutdown命令關閉的話，則集線器連接的所有設備都無法使用網絡了。遇到這種情況我們可以使用基于MAC地址的訪問控制列表來控制。具體命令為：

mac accesss-list extended softer 
　　deny host 0011.5b5c.6214 any 
　　permit any any 

然后在進入非授權DHCP所在的交換機端口執(zhí)行如下命令：

mac access-group softer in

設置完畢后就阻止了MAC地址為0011.5b5c.6214的計算機對外網的訪問，而又不影響連接到同一臺集線器上的其他設備。

三、總結：

其實網絡安全的最大危險來自網絡內部，內部網絡充斥著非授權使用網絡者帶來的危機，所以在平時就要對網絡結構進行合理的規(guī)劃，對網絡參數的設置也要保留有詳細的備案信息。這樣當問題發(fā)現后我們就可以迅速的根據保留的數據第一時間發(fā)現問題的關鍵點。

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

最新評論