局域网中非法搭建DHCP服务故障探讨
DHCP服务器故障引起的网络问题
DHCP服务器故障引起的网络问题摘要:随着网络应用的不断广泛和深入,网络的安全与稳定也就变得更加重要,因此,作为一名网络管理人员,任重而道远。
需要保障网络的正常运行,文章结合实际工作经验,通过DHCP服务器引起的网络问题来阐述网络的快速定位和排除。
关键词:DHCP服务器;地址池;租用周期;DHCP DISCOVER封包随着计算机及网络技术的飞速发展,办公自动化信息系统的作用也越来越大,天津市静海县医院为了提高工作效率,增强竞争力,在内部组建了局域网,可没过多久医院工作人员报告说大多数电脑突然无法共享取得其他电脑上的资料,没法工作了。
1计算机硬件故障于是笔者带着问题去检查故障电脑,首先从硬件出发,抽查了几台故障电脑的网卡如图1所示。
设备管理器中的网卡位置没有问号或叹号,说明网卡和网卡驱动都没有问题。
接下来测试与故障机器连接的网线,测试后发现网线的连通性也正常。
那问题会不会出现在路由器的端口上。
单位使用的是一台CISCO 1760路由器,如果路由器接口损坏也会导致网络无法联通,用能正常工作的电脑替换故障机器,并与路由器接口连接,发现该电脑仍能正常与其他电脑资源共享。
因此,可以排除网络无法资源共享的故障是由硬件故障引起的可能。
2计算机的软件设置硬件故障既然已经排除,那问题肯定就出在电脑的设置上了。
首先查看相关电脑的属性如图2所示。
发现正常工作的电脑使用通过DHCP自动获取IP地址都获得了正确的IP地址,而那些不能正常工作的电脑的IP地址是169.254开头的B类地址,这显然不对,正常工作的电脑应为192开头的C类地址,显然由于169与192开头的电脑不处在同一网段,当然也就无法互通了。
现在基本可以断定故障是由IP地址错误引起的。
于是找到问题电脑,记下它的计算机名(如PC1),目前获得的IP地址(如192.168.0.50)用作备用。
用一台能正常工作的电脑ping刚刚记下的那个IP地址“ping 192.168.0.50”,发现不通,再试着ping 那台电脑的计算机名“ping PC3”,发现也不通,但是计算机名却能够被解析成IP地址如图3所示。
应对伪造DHCP服务器攻击
简 化
与 交 换 机 上 相 关 功 能 模 块 配 合 ,有 效 预 防 A RP病 毒 等病 毒
或各类 DHC P攻击 。
DHC P中继 区 别 于 D HCP S n o o p i n g运 行 在 网 络 层 . 安 全
功 能方面 与 DHC P S n o o p i n g相似 .提 取并 记录客 户机的 I P
4 . 应 对 的具 体 策 略
即 可通过 DHC P服 务接 入局域 网。如果局 域网 划分 了大量
VL A N, 用 户 VL A N 变 更 也无 需 改 动 终 端 的任 何 配 置 , 使 用 非 常 方便 。 然 而 DHC P住网 络 安 全 方面 却显 得脆 弱 且 无 力 , 伪 造
与 主 机 MA C等信 息 , 并配 合 a r p功 能 模 块 使 用 , 提 高 DHCP
服 务的安全保障 。
3 . 主 要HCP服 务 很 可 能 会 造 成 流 量 丢 失 、信 息 泄 露 等 严 重 问 题 。通 常 攻 击 者 会 先 伪 造 大 量 的
于 对 已瘫 痪 的 各 个 单 点 的 故 障 排 查 之 中 , 很 难 在 攻 击 开 始 后 的第一时1 司做 出相 应 的排 除 措 施 。 即 使 经验 丰 富 地 意 识 到 了 存 在 非 法 DHC P服 务 器 , 一 般 也很 难 在 日趋 庞 大 的 局 域 网 之 中 找 出它 的 确 切位 置 , 这必 是一个耗时 耗力的过程 。面对这
一
D HCP服务器等攻击 手段时常困扰 着网络管理 员。
1 . 应 用 技 术
I ) HC P协 议 是 基 f UDP和 I P协 议 之 上 运 行 的 , 并 且 存
交换机DHCP snooping防非法DHCP服务器在宾馆的应用
交换机DHCP snooping防非法DHCP服务器在宾馆的应用李健;周昕
【期刊名称】《福建电脑》
【年(卷),期】2015(31)8
【摘要】在宾馆局域网中配置DHCP服务,使每个客房的客户端自动获取IP地址,子网掩码,网关,DNS等网络参数,降低网络管理员网络设置的负担。
但是,房客为使个人房间支持无线上网,常常接入便携式无线路由器,并开启无线路由的DHCP服务,这个非法的DHCP服务器接入网中,局域网中的客户端就不能正常的从管理员所设置的DHCP服务器中获取合法的网络参数,造成整个网络不正常的现象。
本文主要从DHCP的工作原理来分析造成此种情况的原因,并提出使用交换机的DHCP Snooping功能配置解决此故障。
【总页数】1页(P121-121)
【作者】李健;周昕
【作者单位】平顶山工业职业技术学院河南平顶山 467001;平顶山工业职业技术学院河南平顶山 467001
【正文语种】中文
【相关文献】
1.基于交换机阻止非法DHCP服务器攻击的实现 [J], 孙中全;陈开兵
2.DHCP服务器与三层交换机绑定地址 [J], 李小松
3.挖掘DHCP服务器的安全潜能——DHCP服务器之安全技巧篇 [J], 余佳
4.探讨DHCP环境下防范非法DHCP服务器的措施 [J], 徐坚
5.基于华为交换机DHCP Snooping技术的网络应用 [J], 赵刚;彭志勇;郑健
因版权原因,仅展示原文概要,查看原文内容请购买。
DHCP安全问题及防范措施
DHCP安全问题及防范措施作者:李娟来源:《数字技术与应用》2015年第02期摘要:DHCP是一个局域网的网络协议,全称为动态主机分配协议(Dynamic Host Configuration Protocol)。
DHCP安全问题极易在内部网络及网络服务提供商在分配IP地址造成的IP冲突、伪造DHCP服务器等攻击。
为此,本文对DHCP安全问题进行了分析,并提出了相应的防范和解决此类问题的方法和步骤。
关键词:计算机 DHCP 安全问题防范措施中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)02-0000-00DHCP 服务器可以在配置IP 地址和网络参数方面为网络中的新用户提供方便。
但是,由于DHCP 服务器自身缺陷而存在的不安全因素,也是令许多网络用户感觉困惑与头疼的问题。
因此,如何对安全问题进行防范,保证自己的合法权益及个人隐私不受侵犯,就显得尤为重要了。
1 DHCP技术阐述首先,是实现DHCP客户端与服务器之间的交互。
(见图1)DHCP的实现分四步,分别对应四种不同的广播数据包。
第一步:客户端发送DHCPdiscovery 包,请求DHCP服务器,就是查找网络上的DHCP服务器;第二步:服务器向回应客户端的 DHCPoffer 包,目的告诉客户端,我能为你提供IP地址;第三步:DHCPrequest 包,客户端向服务器请求IP地址;第四步:DHCPack 包,确认包,服务器向客户端分配IP地址。
其工作流程见图2:2 DHCP安全问题分析DHCP 服务器面对的具体威胁就是非法入侵。
即非法的客户申请IP 地址和网络参数而不被察觉,其造成的后果轻者是盗用服务,严重的就是恐不法分子故意避开检查来从事盗取信息、传播病毒等非法活动。
这就要对DHCP的安全问题进行分析,以此好对症下药,防微杜渐。
DHCP的安全问题具体体现在:(1)DHCP协议存在以下缺陷:强健性不够。
私接路由器造成网络不通怎么办
私接路由器造成网络不通怎么办
问:有人在局域网中私接路由器,造成网络不通,该怎样排查。
答:看ip地址信息啊,有没有ip流量监控的相关软件,查看哪些ip不是你设置ip,扫描一下局域网i p就知道了你有考虑过私自接路由为什么会造成网络不通吗?根据我的经验,有一下几个原因:
1,私接的路由器开启了DHCP功能,客户端获取了非法DHCP的IP;
2,私接路由连线异常,产生回路造成网络堵塞;
第一种情况排查起来的确困难,但如果前期规划好了VLAN,也能大概确定DHCP的大概范围。
第二种情况则需要监测交换机各端口的异常流量来定位故障。
另外在网络不通的情况下,在交换机上一根线一根线的试,不多久应该可以找到那个私接路由器的那条线缆。
DHCP技术应用的若干问题及解决方案_2010
现代计算机 2010.07 貋貙貨
实践与经验
能力的环境,在服务器出现故障或停机时提供冗余。 冗余设计方案一:DHCP 容错的 100/100 故障恢复
方法是使 DHCP 服务器环境达到高可用性的最有效手 段。 此冗余方法是由两台运行的 DHCP 服务器组成,每 台 DHCP 服务器被配置为具有相同的子网范围, 但必 须设置有不同的排除 IP 范围,以避免 IP 地址冲突。 且 每台服务器的IP 容量都大到足以处理指定实验室子网 内的所有客户机。
针对上述问题, 可以借助 DHCP 的中继代理功能
实现多子网 IP 分配。 DHCP 中继代理服务具备 DHCP/ BOOTP Relay Agent 的功能,能够把 DHCP 广播消息从 一个网段转播到另一个网段上。 其原理是处于各个子 网 间 的 中 继 服 务 器 监 听 目 的 端 口 号 为 67 的 UDP 报 文。 当 DHCP Relay 收到目的端口号为 67 的报文时,首 先会对数据包进行分析判断, 如果是用户的申请数据 包 ,则 将 数 据 帧 中 的 “giaddr”字 段 值 改 为 自 己 的 IP 地 址, 然后将此报文发送给指定子网内的 DHCP 服务器, 以实现 DHCP 报文穿越多个子网的目的。 如果 DHCP Relay 发 现 接 收 到 的 数 据 帧 是 DHCP 服 务 器 的 响 应 报 文 , 则 会 根 据 “flag” 字 段 中 的 广 播 标 志 位 来 进 行 广 播 或 单播封装,然后传送给 DHCP 客户机。 由于多子网网络 一般是采用在汇聚层上划分 VLAN 的方式。 而当前汇 聚层的三层交换机一般符合 RFC1542 规定的标准,具 备 DHCP 中继功能,因此,在交换机上实现 DHCP 中继 将比另外架设 DHCP 中继服务器更方便快捷。 本文假 设以 Cisco3750 交换机作为汇聚层交换机为例,在汇聚 层的三层交换机上划分 VLAN, 有如下的 VLAN 与 IP 地址对应表:
CMTS使用中DHCP故障处理实例与探讨
CPU u t i l i z a t i o n f o r f i v e s e c o n d s :
3 8% :o n e mi n ut e :3 7% :f i v e mi n u t e s : 3 8 %
析 ,发现 M o d e m的 D H C P请求报文 ,
C M T S已 经 转 发 出 去 ,但 是 D H C P服
C P U U s a g e S t a t . C y c l e : 6 0( S e c o n d )
CP U Us a g e : 7 5 % Ma x : 9 7%
CP U Us a g e : 3 8 % Ma x : 9 7%
调 试 过 程 汇 总 发 现 有 大 量 的 与 9 3 0 6 之间有丢包现象 ,现场在网管
D H C P请 求发 送上 来 ,大 概每 秒 3 0 0 人 员 配合下 查 看 9 3 0 6配 置 发 现 某 些
个左右。
V L A N端 口 C P U异 常 。 排 查 发 现 由 于
Mo d e m发出 D H C P请 求 后 ,并 没 其 VL AN1的 配 置 导 致 , 移 除 V L AN1
有 马上接收到 D H C P回复的响应。通 配 置后 ,端 口 c p u恢复 正 常 。
过在 C M T S上 抓 取 D H C P交 互 报 文 分 查看 9 3 0 6 C P U使 用状 态 :
用 户 )。 网 维人 员 和 客 户 确 认 ,此 时
报障的机顶盒的业务恢复正常。
图解DHCP故障
∙服务器维护经验谈图解DHCP故障排除∙服务器安全技术文章,服务器攻防技术...服务器软件下载图6第十二步:如果上面十一步仍然不能解决问题的话,我们只能先使用静态IP地址与DNS等网络信息配置本机来进行检测了。
如果配置了静态IP信息后可以正常上网,连接LAN的话,则说明问题的出在客户机与DHCP服务器的连接或者DHCP服务器自身上。
我们就要将问题的起因放到DHCP服务器上。
提示:有的时候为客户端设置一个其他用户,然后使用该用户登录也可以解决部分DHCP故障,另外用lspfix.exe或winsockxpfix.exe,修复tcpip的栈区错误,结合“开始->运行->输入sfc /scannow”扫描一遍系统文件也能得到意想不到的结果。
第七步:将本地网卡禁用然后再次启用,按照上面介绍的步骤重新做一次。
第八步:如果我们知道DHCP服务器的IP地址的话,可以在客户机上使用ping命令“ping 服务器ip”查看网络连通情况。
第九步:在系统的“事件查看器”中寻找有无关于DHCP服务相关的故障记录。
方法是“开始->控制面板->管理工具->事件查看器”。
(如图3)图3第十步:通过“开始->控制面板->管理工具->服务”打开服务设置窗口,在服务列表中找到dhcp client service。
(如图4)在其上双击,然后点停止按钮,接着再点启动按钮将其重新启动。
如果发现该服务本身没有启用则更说明了故障的根源所在,直接启动并设置启动方式为“自动”即可。
(如图5)图4图5第十一步:打开网络的本地连接进行修复,方法是“网上邻居->属性->本地连接->修复”。
系统将自动清除ARP缓存与NETBS信息,接着更新DNS与DHCP服务组件与相关信息。
(如图6)图6第十二步:如果上面十一步仍然不能解决问题的话,我们只能先使用静态IP地址与DNS等网络信息配置本机来进行检测了。
dhcp的欺骗方法
dhcp的欺骗方法
DHCP(动态主机配置协议)欺骗是一种网络攻击手段,攻击者
试图通过伪装成DHCP服务器来欺骗网络上的主机,以获取它们的
IP地址和其他网络配置信息。
以下是一些常见的DHCP欺骗方法:
1. DHCP服务器伪装,攻击者在网络中部署一个伪装的DHCP服
务器,向网络上的主机发送虚假的DHCP响应,让主机将自己的IP
地址和其他配置信息指向攻击者控制的设备。
这样一来,攻击者就
可以窃取网络流量或进行其他恶意活动。
2. DHCP请求劫持,攻击者监听网络上的DHCP请求,快速回复
主机的DHCP请求,使主机接受攻击者提供的虚假IP地址和配置信息。
这种方法可以在网络上引起IP地址冲突,导致网络通信混乱。
3. DHCP DoS攻击,攻击者发送大量的DHCP请求或响应,使得
合法的DHCP服务器无法正常为其他设备提供IP地址和配置信息,
导致网络中断或拒绝服务。
4. 静态ARP欺骗,攻击者可以通过修改网络设备的ARP缓存表,将合法的DHCP服务器IP地址映射到攻击者控制的设备上,从而欺
骗主机发送DHCP请求到攻击者控制的设备。
为了防范DHCP欺骗攻击,可以采取一些措施,例如使用DHCP Snooping功能来限制只允许授权的DHCP服务器向网络上的设备提供IP地址和配置信息,或者使用静态IP地址绑定等方法来限制DHCP服务器的访问。
另外,网络设备可以配置防火墙规则来限制DHCP流量的来源和目的地,以防止未经授权的DHCP服务器干扰正常的网络通信。
综上所述,对于DHCP欺骗攻击,网络管理员需要采取综合的安全措施来保护网络安全。
驱动有“罪”网卡DHCP功能异常
最新资讯精彩文章尽在豆丁在局域网中安装、部署DHCP服务器,能够大大提升网络管理效率,毕竟DHCP服务器可以自动为客户端系统分配IP地址,可以让许多重复的网络管理操作变得更加轻松。
不过,客户机的网卡要能正常享受DHCP服务却不容易,它可能会受到诸多因素的影响,而不能自动获得正确的上网地址。
这不,本文下面的一则网卡无法DHCP 的故障,竟然是驱动程序有“罪”,在使用官方提供的最新驱动替换后,网卡立即就能自动获得IP地址了!网卡DHCP无效笔者家里的局域网使用的是ADSL宽带,将ADSL设备连接到一台DLinkD1-624+A无线路由器上, 一台整合了Realtek 8168千兆网卡的台式电脑,通过普通双绞线直接连接到无线路由器的L A N端口中,另外一台笔记本电脑使用无线网卡与无线路由器连接,并通过该设备进行共享A D S L宽带上网访问。
为了提高网络管理效率,笔者先在笔记本电脑中手工配置好上网参数,与无线路由器建立正常的网络连接,之后登录进入无线路由器后台管理页面,找到DHCP服务设置选项,启用了该设备自带的DHCP服务器功能,确保家中局域网的客户端系统日后可以自动获得上网参数,进行正确上网访问。
接着,笔者在普通台式电脑中,依次单击“开始”|“设置”|“网络连接”命令,右击网络连接列表中的本地连接图标,点选快捷菜单中的“属性”命令,进入本地连接属性对话框,再选中tcp/ip协议选项,单击“属性”按钮,将本地网卡设备设置成自动获取I P地址,最后重新启动了一下台式电脑系统。
原以为台式电脑系统就可以共享ADSL宽带上网访问了,可是系统启动成功后,却不能正常上网访问;立即打开该系统的D O S命令行窗口,在其中执行“ipconfig /all”命令,查看台式电脑是否获得了正确的上网地址时,发现该系统的网卡竟然获得了一个169开头I P地址,该地址显然不是无线路由器自带DHCP服务器分配的地址,因为无线路由器默认管理地址为192.168.1.1,DHCP服务器为普通客户端系统分配的I P地址应该为192.168.1.x,显然台式电脑的网卡设备DHCP无效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
局域网中非法搭建DHCP服务故障探讨
湖北省枝江市第三高级中学杨华443200 熟悉网络管理的朋友对DHCP服务并不陌生,它给我们的网络管理带来极大的方便,只要在DHCP服务端配置好,可以让终端用户快速方便上网,无须作任何参数设置。
但如果配置不当,架设不正确,它会让我们的网络不通,而且查找起来很麻烦了。
下面以本人工作所遇到故障为例,相信也是大多网络管理人员经常碰到的,从故障现象、故障原因、故障排除几方面加以分析。
一、故障现象:
网络用户反映:网络连接正常,而且还可以访问到部分办公室计算机了,但就是上不了网。
我们查看了一下故障,发现故障现象也很明显,即上不去网的用户获得了一个以192.168.1打头的IP地址,网关为192.168.1.1(我们单位的路由器IP是的192.168.0.1),这明显是通过一台非法搭建的路由器获得的IP地址,随后我们在该用户计算机的浏览器上登录192.168.1.1这个地址,即打开了一台宽带路由器的管理界面,好在这台路由器的用户名/密码是默认的admin/admin,我们登陆进去,将该路由器的DHCP功能关闭,进行完以上操作后整个办公室的网络又稳定了一段时间,但是前几天又有用户反映说是上不去网了,我们查了一下,故障现象跟上次的一样,但是由于这次路由器被更改了登陆密码,所以我们不能通过关闭该路由器的DHCP 功能来解决问题了,这次到了彻底解决问题的时候了,一定要在局域网中揪出这台私自为用户分配IP地址的宽带路由器,才有可能保证
局域网的安全稳定运行。
二、故障原因分析:
如下图所示:
一般来讲,网络用户通过网络设备(交换机或其它)连接到路由器A,并通过DHCP服务获取上网的相关参数.即可上网.但随着网络用户的增多,尤其是笔记本用户,无了实现无线上网,在很多办公室都架设一个无线路由共享上网。
这样就导致网络中其它的用户也就可能从这个无线路由获取IP了。
这里有两种情况
1、无线路由器默认的DHCP服务是打开的,而且网关是192.168.1.1。
一般用户只设置了无线网络参数,这样网络用户就从它获取了IP,导致在小范围的局域网是通的,但与外网不通了,不能上网。
2、情况跟上面一样了,但稍稍有点网络知识的人就知道分别设置一下LAN端口和W AN端口网络参数,这样导致同样IP是192.168.1打头的用户确可以上网了。
即便这样,从技术上完全可以的,但从网络管理上来讲是不科学的,因为它没有必要架设一个路由,增加网络运行负担了。
三、故障排除
1、加强网络配置管理规范化。
(1)、作为一个合格的网络管理员,技术固然是重要的。
但规范的管理可以减少很多不必要的麻烦。
那就是凡是私自增加网络设备的用户要经网络中心管理员同意,在他技术指导下完成网络设备的设置。
(2)、使用固定的IP地址
这种方案可以彻底解决非法DHCP服务的危害,因为网络用户都是固定的IP,不会自动获取IP了。
缺点是很多笔记本用户由于上网环境不同,要经常更改参数了。
少数网络用户很难记住为自己计算机分配IP地址,而且如果出现IP地址冲突之类的故障,又增加了排查冲突IP故障难度。
不过这个方案只要管理得当,每位网络用户认真遵守自己固定的IP,应该是一种不错的办法。
而且不怕任何网络用户自己私自接宽带路由器。
(3)、通过PPPOE的形式上网
这种形式有很多的好处,由于局域网用户上网时不是通过DHCP 的方式(当然也不用设置静态IP地址),而是通过PPPOE拨号获得一个IP地址,这样就不会受到非法的DHCP服务器的干扰了。
其实PPPOE服务器的好处不仅如此,一来架设一台PPPOE服务器不是一件容易的事(不怕一般用户无意恶意为之了),二来通过PPPOE的方式上网,局域网内也不会发生ARP地址欺骗攻击的问题了。
:
2、通过各种技术手段排除故障
(1)、临时性排除
1、通过命令释放再获取IP参数
ipconfig /release 和ipconfig /renew
我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。
即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。
提醒:这种方法治标不治本,反复尝试的次数没有保证,另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息,故障仍然会出现。
2、设一个固定的IP
先给网络用户设一个固定的IP及网关、子网掩码、DNS,可能确保暂时上网了。
(2)、“揪”出非法的DHCP服务
1、DHCP服务器也充当着网关的作用,如果获得了非法网关地址,也就是知道了非法DHCP服务器的IP地址。
通过ping (非法的DHCP服务)IP,通过arp -A查出MAC地址。
知道了MAC地址,就可以在路由器中屏蔽这个MAC,或者是屏蔽该MAC的68端口。
2、如果是设置了无线路由的路由功能,那么通过以上方法查找的只能是无线路由器的LAN的MAC,而在中心路由器A中所能控制的只能是它的W AN端口了。
这里提供一个小技巧:一般来讲,无线路由器的LAN端口MAC和W AN端口MAC是连着的,即最后二位数是连着的。
如下图所示
其实我们在方法1得到的MAC是LAN的,但要在中心路由器A 要封掉的MAC应该是W AN MAC了。
这样只要在中心路由器A的ARP缓存表找到与LAN MAC最接近的MAC即是了。
三、从技术上限制非法DHCP的产生
1、通过“域”的方式对非法DHCP服务器进行过滤
将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。
原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包,如果其他DHCP Server 有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。
这样当合法DHCP存在时非法的就不起任何作用了。
提醒:这种方法效果虽然不错,但需要域的支持。
要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。
所以这个方法,效果也不错,但不太适合实际情况。
2、在路由交换设备上封端口
DHCP服务主要使用的是UDP的67和68端口,DHCP服务器端应答数据包使用68端口,67端口为客户机发送请求时使用。
所以我们可以在路由器上保留服务器的68端口,封闭客户机的68端口,就能达到过滤非法DHCP服务器的目的。
提醒:如果计算机很多的话,操作起来不方便,而且会增加路由器的负担,影响到网络速度。
凡是提供DHCP服务的服务器都必须设置固定IP地址,想在动态获得IP信息的计算机上启用DHCP服务是不可以的。
而且虽然微软公司在限制DHCP服务上做了规定,例如同一个网络中不容许两台DHCP存在。
但是目前有很多第三方软件可以建立DHCP服务器,甚至是宽带路由器也将DHCP功能集成于自身配置中,因此在这种情况下就无法清楚的查询出网络中到底存在几个DHCP服务器了,我们只能将怀疑对象一一关闭或者在交换机及路由器上将怀疑对象进行访问控制列表过滤。
总之网络中存在非法DHCP服务器引起的网络故障是非常难解决的,需要反复调查循序渐进。
反思:为什么不能让网络用户的设备只能从指定的DHCP服务器获取地址?
这个功能我想是大多数网络管理员都非常向往的,在一次次追查那台“非法”的宽带路由器未果的时候,我们就在想,如果终端设备上能够设置只通过指定的DHCP服务器获取IP地址的话,这样终端设备就不会被那台宽带路由器所干扰,我们也就不用找得这么辛苦了。