局域網(wǎng)“內(nèi)鬼” 非授權(quán)DHCP服務(wù)器防范策略
3、路由交換設(shè)備上封殺:
有的路由交換設(shè)備自身功能比較強(qiáng),例如具有extreme功能,他可以自動(dòng)抑制非授權(quán)dhcp的數(shù)據(jù)包。如果沒(méi)有extreme功能我們?nèi)绾翁崆邦A(yù)防非授權(quán)DHCP服務(wù)器的接入呢?
首先需要對(duì)DHCP數(shù)據(jù)包使用的端口有所了解,DHCP服務(wù)主要使用的是UDP的67和68端口,服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口,67端口為客戶機(jī)發(fā)送請(qǐng)求時(shí)使用。所以我們可以在路由器和交換機(jī)上通過(guò)訪問(wèn)控制列表來(lái)屏蔽除合法DHCP服務(wù)器以外的所有DHCP應(yīng)答包,也就是說(shuō)將68端口封閉。
具體命令為: access-list 108 deny udp any eq 68 any (圖1)
圖1
這種方法也同樣只對(duì)于WINDOWS操作系統(tǒng)的DHCP服務(wù)器有效,對(duì)于在其他操作系統(tǒng)上建立的DHCP服務(wù)器則無(wú)法完全過(guò)濾。而且大量的ACL也會(huì)降低路由交換設(shè)備的性能,使網(wǎng)絡(luò)速度受到一定的影響。
4、另類方法干擾非授權(quán)DHCP服務(wù)器:
在實(shí)際使用中筆者發(fā)現(xiàn)了一個(gè)另類的方法,該方法和上面介紹的消極防范結(jié)合起來(lái)使用效果還算不錯(cuò)。這個(gè)方法就是只要知道非授權(quán)的DHCP的IP,找臺(tái)電腦設(shè)置和他同樣的IP,能降低非授權(quán)DHCP發(fā)放的數(shù)量,這樣在執(zhí)行ipconfig /release和ipconfig /renew時(shí)獲得合法網(wǎng)絡(luò)信息的概率大大提高。
5、行政方法:
其實(shí)和眾多網(wǎng)絡(luò)管理方法一樣,制定規(guī)范合理嚴(yán)格的規(guī)章制度是減小網(wǎng)絡(luò)故障產(chǎn)生的最好手段。我們可以通過(guò)制度來(lái)約束網(wǎng)絡(luò)中非授權(quán)服務(wù)的產(chǎn)生,對(duì)于提供非授權(quán)服務(wù)的用戶給予行政上的處罰。
6、實(shí)打?qū)嵠帘畏鞘跈?quán)DHCP服務(wù)器:
操作步驟如下:
第一步:知道了非授權(quán)DHCP服務(wù)器的IP地址后使用ping -a ip來(lái)反向查看他的計(jì)算機(jī)主機(jī)名。
第二步:根據(jù)ARP命令查詢?cè)撚?jì)算機(jī)對(duì)應(yīng)的MAC地址,也可以到合法DHCP服務(wù)器上查看緩存池中該IP對(duì)應(yīng)的MAC地址。
(提示:屏蔽非授權(quán)DHCP服務(wù)器一定要從MAC地址來(lái)入手,因?yàn)镮P地址可以修改而且自動(dòng)獲得IP的方法很多,獲得的參數(shù)也會(huì)產(chǎn)生變化。)
第三步:知道了MAC地址后登錄交換機(jī)執(zhí)行sh mac address顯示所有MAC地址與交換機(jī)端口的對(duì)應(yīng)關(guān)系。(圖2)
圖2
第四步:我們就可以從顯示的對(duì)應(yīng)關(guān)系列表中查看到該MAC對(duì)應(yīng)的端口號(hào)了,如果端口比較多還可以使用“sh mac address add 0011.5b5c.6214”這樣的格式來(lái)查詢0011.5b5c.6214這個(gè)MAC地址對(duì)應(yīng)的端口。(如圖3)
圖3
第五步:找到對(duì)應(yīng)的端口后通過(guò)int命令進(jìn)入該接口,然后使用shutdown關(guān)閉該接口,從而阻斷了該計(jì)算機(jī)與外界的聯(lián)系。(如圖4)
圖4
這種方法存在一個(gè)問(wèn)題,那就是如果使用的是集線器連接下方設(shè)備時(shí),會(huì)在交換機(jī)上的一個(gè)端口學(xué)習(xí)到多個(gè)MAC地址,如果我們直接將該端口通過(guò)shutdown命令關(guān)閉的話,則集線器連接的所有設(shè)備都無(wú)法使用網(wǎng)絡(luò)了。遇到這種情況我們可以使用基于MAC地址的訪問(wèn)控制列表來(lái)控制。具體命令為:
mac accesss-list extended softer
deny host 0011.5b5c.6214 any
permit any any
然后在進(jìn)入非授權(quán)DHCP所在的交換機(jī)端口執(zhí)行如下命令:
mac access-group softer in
設(shè)置完畢后就阻止了MAC地址為0011.5b5c.6214的計(jì)算機(jī)對(duì)外網(wǎng)的訪問(wèn),而又不影響連接到同一臺(tái)集線器上的其他設(shè)備。
三、總結(jié):
其實(shí)網(wǎng)絡(luò)安全的最大危險(xiǎn)來(lái)自網(wǎng)絡(luò)內(nèi)部,內(nèi)部網(wǎng)絡(luò)充斥著非授權(quán)使用網(wǎng)絡(luò)者帶來(lái)的危機(jī),所以在平時(shí)就要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的規(guī)劃,對(duì)網(wǎng)絡(luò)參數(shù)的設(shè)置也要保留有詳細(xì)的備案信息。這樣當(dāng)問(wèn)題發(fā)現(xiàn)后我們就可以迅速的根據(jù)保留的數(shù)據(jù)第一時(shí)間發(fā)現(xiàn)問(wèn)題的關(guān)鍵點(diǎn)。
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
- android基于socket的局域網(wǎng)內(nèi)服務(wù)器與客戶端加密通信
- 服務(wù)器共享文件夾設(shè)置軟件、局域網(wǎng)共享文件夾加密工具、文件共享服務(wù)器軟件的選擇
- 使用Java代碼獲取服務(wù)器性能信息及局域網(wǎng)內(nèi)主機(jī)名
- 新手架設(shè)魔獸單機(jī)和局域網(wǎng)服務(wù)器教程
- 局域網(wǎng)代理服務(wù)器組建方案 教程
- 局域網(wǎng)內(nèi)架設(shè)DNS服務(wù)器要謹(jǐn)慎
- 局域網(wǎng)中架設(shè)Win 2003終端服務(wù)器
- 基于http.server搭建局域網(wǎng)服務(wù)器過(guò)程解析
相關(guān)文章
談?wù)劶夹g(shù)原則,技術(shù)學(xué)習(xí)方法個(gè)人總結(jié)
談?wù)劶夹g(shù)原則,技術(shù)學(xué)習(xí)方法,代碼閱讀及其它個(gè)人總結(jié)這篇文章是前一陣在水木BBS上和別人討論中偶自己發(fā)言的摘編,是偶這幾年開(kāi)發(fā)過(guò)程完全經(jīng)驗(yàn)式的總結(jié)。完全個(gè)人經(jīng)驗(yàn),供批判。2008-06-06解決Office2003找不到SKU011.CAB問(wèn)題方法
解決Office2003找不到SKU011.CAB問(wèn)題方法...2007-03-03服務(wù)器中TIME_WAIT狀態(tài)過(guò)多時(shí)的排查分析
這篇文章主要為大家介紹了服務(wù)器中TIME_WAIT狀態(tài)過(guò)多時(shí)的排查分析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步早日升職加薪2022-04-04手把手教你把網(wǎng)上下載視頻刻錄成VCD、DVD的圖文教程
手把手教你把網(wǎng)上下載視頻刻錄成VCD、DVD的圖文教程...2007-10-10提示缺少“S2CSplash.DLL"的解決方法,下載此文件放到才程序目錄即可
提示缺少“S2CSplash.DLL"的解決方法,下載此文件放到才程序目錄即可...2007-08-08解決Photoshop CS3在Win 2003下無(wú)法安裝的解決方法
解決Photoshop CS3在Win 2003下無(wú)法安裝的解決方法...2007-04-04XP/win2003下發(fā)現(xiàn)1G的內(nèi)存比512M還慢的解決方法
XP/win2003下發(fā)現(xiàn)1G的內(nèi)存比512M還慢的解決方法...2007-11-11