解决局域网中干扰DHCP服务器的办法

科学技术创新2020.30如何解决无线局域网内伪造DHCP 服务器攻击How to solve the attack of forging DHCP server in WLAN唐磊（重庆三峡职业学院信息化建设办公室，重庆404155）1概述我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达，请稍后认证”，无法认证上网。

使用ping 命令检查网络连通性，发现该办公楼的网关地址正常连通，但获取的DNS 地址为192.168.1.1，导致无法通过认证。

手动配置计算机的IP 地址为192.168.1.250，网关地址为192.168.1.1，在浏览器中输入http://192.168.1.1，可以访问无线路由器的管理界面（如图1所示）。

将计算机的DNS 地址配置为61.128.128.68，能正常认证上网，因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP 服务器攻击所致。

图1路由器管理界面2问题原因分析产生上述问题的原因是：客户机通过广播方式发送DHCP 请求寻找DHCP 服务器，DHCP 服务器接收到客户机的IP 租约请求时，同时提供IP 租约给客户机。

客户机收到IP 租约时，同时发送DHCPREQUEST 消息。

当DHCP 服务器收到消息后，同时完成DHCP 分配。

由于局域网中同时存在多个DHCP 服务器，所有DHCP 服务器都收到计算机发送的DHCP 请求，互相争夺DHCP 提供权，导致计算机获取到伪装DHCP 服务器的IP 地址，从而无法上网。

3解决方法对于伪造DHCP 服务器，本文采用的解决方法步骤如下：第一步：在故障电脑上命令提示符中输入arp -a 命令，在出现的IP 地址与物理地址列表信息中，查找到IP 地址192.168.1.1的物理地址为be-5f-f6-01-a8-12，此物理地址为路由器所对应的硬件MAC 地址。

如图2所示。

第二步：使用telnet 命令登录AC ，通过display wlan client |in be5f-f601-a812命令查看该无线路由器接入的AP ，命令执行如下：be5f-f601-a812N/A e-4f-410-sh...2192.168.1.12001再次使用命令display wlan ap all address |in e-4f-410-sh ，可知该无线路由器通过名称为e-4f-410-shiwai 的摘要：随着科技的飞速发展，传统的有线局域网（LAN ）已无法跟上科技发展的步伐，而无线局域网（WLAN ）给人们生活带来便利。

dhcp安全问题及防范措施
DHCP（Dynamic Host Configuration Protocol）是一种网络协议，用于自动分配IP地址、子网掩码、默认网关等网络配置信息给
客户端设备。

然而，由于其工作方式的特点，DHCP也存在一些安全
问题，如下：
1. DHCP劫持：攻击者可以通过在网络上部署恶意的DHCP服务
器来欺骗客户端设备，从而获取受害者的网络流量或篡改其网络设置。

2. IP地址冲突：当两个设备同时被分配了相同的IP地址时，
会导致网络中断或通信故障。

3. 资源耗尽：攻击者可以通过大量请求DHCP分配的IP地址，
使得DHCP服务器资源耗尽，导致正常设备无法获取IP地址。

为了防范这些安全问题，可以采取以下措施：
1. 使用DHCP Snooping：通过启用DHCP Snooping功能，可以
限制DHCP服务器只能响应经过认证的端口请求，防止未经授权的DHCP服务器攻击。

2. 使用静态IP地址分配：对于一些重要的网络设备，可以手动配置静态IP地址，避免使用DHCP分配的动态IP地址，减少IP地址冲突的可能性。

3. 限制DHCP服务器范围：在DHCP服务器上设置IP地址分配范围，并限制分配数量，避免资源耗尽问题。

4. 配置DHCP服务器认证：通过在DHCP服务器上配置用户认证，只允许授权的用户请求并获取IP地址。

5. 定期更新DHCP服务器软件：及时安装最新的DHCP服务器软件补丁，修复已知的安全漏洞，提高系统的安全性。

总之，通过合理的配置和使用DHCP服务器，结合以上防范措施，可以有效降低DHCP安全问题的风险。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

局域网中出现DHCP冲突怎么解决？
展开全文
作为一个曾经的网络技术支持人员，对于这种在局域网内私接小路由器的行为深恶痛绝。

一般都是有人把网线插在无线路由器LAN口但又忘记关闭无线路由器的DHCP导致的，下面说说我的建议来如何避免这种情况出现：
1. 主路由器上开启IP/MAC的绑定，禁止未绑定的主机通过，这样如果有人私接小路由器也无法上网。

2. 如果有条件的话中心交换机最好划分VLAN，每个部门单独隔离，这样即使有人私接小路由器也只是会影响自身的VLAN，不会影响到其他部门。

一旦出现问题也方便快速排查问题节点。

3. 和公司boss或者部门经理以及行政商量下出一个制度或者公告，一经查实有人私接小路由导致公司内网断网的话，罚款或者扣绩效，相信这招是最有用的。

这样就能很好的防止员工私自在内网接小路由器带来的困扰了！。

局域网组建中常见的问题及解决方案局域网（Local Area Network，LAN）是指在一个较小范围内，由计算机互联而成的网络。

在企业、学校等机构中，局域网的建立可以提高工作效率、促进信息共享。

然而，在局域网组建的过程中，常常会出现一些问题，如网络连接失败、网络延迟等。

本文将介绍局域网组建中常见的问题，并给出相应的解决方案。

一、网络连接失败的问题及解决方案1.1 DHCP服务故障问题描述：DHCP（Dynamic Host Configuration Protocol）服务负责为局域网内的设备分配IP地址。

如果DHCP服务故障，导致设备无法获取到IP地址，网络连接将失败。

解决方案：1）检查DHCP服务器的运行状态，确保其正常运行。

2）检查局域网中的网络设备，确保设备的DHCP客户端功能已启用。

3）重启DHCP服务，如果问题仍然存在，尝试重新安装服务。

1.2 DNS解析问题问题描述：当局域网中的设备无法正确解析域名时，网络连接也会失败。

这种情况经常出现在局域网中的某些设备无法访问互联网。

解决方案：1）检查DNS服务器的运行状态，确保其正常工作。

2）尝试使用其他公共DNS服务器，如谷歌的8.8.8.8或阿里的223.5.5.5。

3）在设备中清除DNS缓存，以避免解析错误的缓存记录。

二、网络延迟的问题及解决方案2.1 网络带宽不足问题描述：当局域网内设备过多或者网络带宽不足时，网络连接速度会变慢，导致延迟增加。

解决方案：1）增加带宽：可以通过升级网络设备、增加网络线路等方式提升网络带宽。

2）限制网络使用：对一些不必要或占用大量带宽的应用进行限制，确保网络使用的合理分配。

2.2 网络拓扑设计不合理问题描述：当局域网的拓扑设计不合理时，可能会导致数据包传输路径长，造成网络延迟增加。

解决方案：1）采用星型拓扑：将所有设备连接到一个中心交换机，以减少数据包传输路径的长度。

2）使用虚拟局域网（VLAN）：将局域网进行逻辑划分，降低广播域的范围，提高网络传输效率。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和 ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

局域网内DHCP冲突的几个解决方式局域网内DHCP冲突的几个解决方式随着计算机科学技术的快速发展，计算机通信网络和Internet已经成为工作、生活和学习必不可少的组成部分。

在局域网管理中，网络管理员普遍使用DHCP进行网络配置，确保能够安全、可靠、方便地进行动态IP地址分配。

在使用DHCP动态分配地址的局域网中，本来是能够正确分配IP 地址的，计算机能正常上网的。

但是如果有人在某个端口接入了具有DHCP功能的路由器设备，或者在局域网中安装了服务器系统并开启了DHCP服务，那么这时在局域网中存在了多个DHCP服务器，进而产生了DHCP冲突问题。

计算机就有可能获取了非法DHCP服务器提供的IP地址，从而发生了计算机获取不了正确的IP地址，无法正确上网的问题，导致局域网不正常的现象。

1 模拟局域网内产生DHCP冲突现象2 探究产生DHCP冲突原因为什么会产生上述问题呢？首先了解计算机动态获取IP地址的过程：1） DHCP发现：客户PC在局域网中通过广播发送DHCP请求，寻找可用的DHCP服务器。

2）DHCP提供：当DHCP服务器收到一个来自客户PC的IP租约请求时，它会提供一个IP租约，发送到请求的客户PC。

3）DHCP请求：当客户PC收到一个IP租约提供时，会发送一个DHCPREQUEST消息，告诉DHCP服务器接受了这个租约提供。

4）DHCP确认：当DHCP服务器收到来自客户PC的DHCPREQUEST消息后，它就开始了配置过程的最后阶段，完成DHCP分配。

由于这个局域网中存在一个合法的DHCP服务器，同时还存在多个非法的DHCP服务器，当计算机发送DHCP请求时，由于是广播发送的，所以所有的DHCP服务器都收到这个请求，都可以进行DHCP提供，产生了DHCP冲突问题，从而导致了计算机可以获取到非法的IP地址，导致了局域网不正常，计算机不能正常上网。

3 解决DHCP冲突方法DHCP产生冲突是由于在局域网中同时存在多个DHCP服务器，我们解决DHCP冲突的思路就是让计算机获得正确的IP地址，只有合法的DHCP服务器才能提供动态IP地址。