這種方法效果雖然不錯(cuò),但需要域的支持。要知道對(duì)于眾多中小企業(yè)來(lái)說(shuō)“域”對(duì)他們是大材小用,基本上使用工作組就足以應(yīng)對(duì)日常的工作了。所以這個(gè)方法是微軟推薦的,效果也不錯(cuò),但不太適合實(shí)際情況。另外該方法只適用于非授權(quán)DHCP服務(wù)器是windows系統(tǒng),對(duì)非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會(huì)有一定的問(wèn)題。

3、在路由器/交換機(jī)上封殺

有的路由交換設(shè)備自身功能比較強(qiáng),例如具有extreme功能,他可以自動(dòng)抑制非授權(quán)dhcp的數(shù)據(jù)包。如果沒(méi)有extreme功能我們?nèi)绾翁崆邦A(yù)防非授權(quán)DHCP服務(wù)器的接入呢?

首先需要對(duì)DHCP數(shù)據(jù)包使用的端口有所了解,DHCP服務(wù)主要使用的是UDP的67和68端口,服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口,67端口為客戶機(jī)發(fā)送請(qǐng)求時(shí)使用。所以我們可以在路由器和交換機(jī)上通過(guò)訪問(wèn)控制列表來(lái)屏蔽除合法DHCP服務(wù)器以外的所有DHCP應(yīng)答包,也就是說(shuō)將68端口封閉。具體命令為:access-list 108 deny udp any eq 68 any (圖2)

這種方法只對(duì)于WINDOWS操作系統(tǒng)的DHCP服務(wù)器有效,對(duì)于在其他操作系統(tǒng)上建立的DHCP服務(wù)器則無(wú)法完全過(guò)濾。而且大量的ACL也會(huì)降低路由交換設(shè)備的性能,使網(wǎng)絡(luò)速度受到一定的影響。

4、另類方法干擾

在實(shí)際使用中筆者發(fā)現(xiàn)了一個(gè)另類的方法,該方法和上面介紹的消極防范結(jié)合起來(lái)使用效果還算不錯(cuò)。這個(gè)方法就是只要知道非授權(quán)的DHCP的IP,找臺(tái)電腦設(shè)置和他同樣的IP,能降低非授權(quán)DHCP發(fā)放的數(shù)量,這樣在執(zhí)行ipconfig /release和ipconfig /renew時(shí)獲得合法網(wǎng)絡(luò)信息的概率大大提高。

5、實(shí)施屏蔽

第一步:知道了非授權(quán)DHCP服務(wù)器的IP地址后使用ping -a ip來(lái)反向查看他的計(jì)算機(jī)主機(jī)名。根據(jù)ARP命令查詢?cè)撚?jì)算機(jī)對(duì)應(yīng)的MAC地址,也可以到合法DHCP服務(wù)器上查看緩存池中該IP對(duì)應(yīng)的MAC地址。 知道了MAC地址后登錄交換機(jī)執(zhí)行show mac add顯示所有MAC地址與交換機(jī)端口的對(duì)應(yīng)關(guān)系。(圖3)

(提示:屏蔽非授權(quán)DHCP服務(wù)器一定要從MAC地址來(lái)入手,因?yàn)镮P地址可以修改而且自動(dòng)獲得IP的方法很多,獲得的參數(shù)也會(huì)產(chǎn)生變化。)

第二步:我們就可以從顯示的對(duì)應(yīng)關(guān)系列表中查看到該MAC對(duì)應(yīng)的端口號(hào)了,如果端口比較多還可以使用“sh mac address add 0180.c200.0005”這樣的格式來(lái)查詢0180.c200.0005這個(gè)MAC地址對(duì)應(yīng)的端口。(圖4)

第三步:找到對(duì)應(yīng)的端口后通過(guò)int命令進(jìn)入該接口,然后使用shutdown關(guān)閉該接口,從而阻斷了該計(jì)算機(jī)與外界的聯(lián)系。

利用這種方式屏蔽非授權(quán)DHCP服務(wù)器當(dāng)使用的是集線器連接下方設(shè)備時(shí),會(huì)在交換機(jī)上的一個(gè)端口學(xué)習(xí)到多個(gè)MAC地址,如果我們直接將該端口通過(guò)shutdown命令關(guān)閉的話,則集線器連接的所有設(shè)備都無(wú)法使用網(wǎng)絡(luò)了。遇到這種情況我們可以使用基于MAC地址的訪問(wèn)控制列表來(lái)控制,(圖5)。具體命令為:

?????? mac?accesss-list?extended?gslw
  deny?host?0180.c200.0005?any
  permit?any?any

然后在進(jìn)入非授權(quán)DHCP所在的交換機(jī)端口執(zhí)行如下命令:mac access-group gslw in設(shè)置完畢后就阻止了MAC地址為0180.c200.0005的計(jì)算機(jī)對(duì)外網(wǎng)的訪問(wèn),而又不影響連接到同一臺(tái)集線器上的其他設(shè)備。

總結(jié):DHCP是網(wǎng)絡(luò)中的關(guān)鍵服務(wù)器,做好它的“安保”至關(guān)重要,希望上面的安防措施對(duì)大家有所幫助。

分享到

zhaohang

相關(guān)推薦