局域网“内鬼” 非授权DHCP服务器防范策略

3、路由交换设备上封杀：

有的路由交换设备自身功能比较强，例如具有extreme功能，他可以自动抑制非授权dhcp的数据包。如果没有extreme功能我们如何提前预防非授权DHCP服务器的接入呢?

首先需要对DHCP数据包使用的端口有所了解，DHCP服务主要使用的是UDP的67和68端口，服务器端应答数据包使用68端口，67端口为客户机发送请求时使用。所以我们可以在路由器和交换机上通过访问控制列表来屏蔽除合法DHCP服务器以外的所有DHCP应答包，也就是说将68端口封闭。

具体命令为： access-list 108 deny udp any eq 68 any (图1)

图1

这种方法也同样只对于WINDOWS操作系统的DHCP服务器有效，对于在其他操作系统上建立的DHCP服务器则无法完全过滤。而且大量的ACL也会降低路由交换设备的性能，使网络速度受到一定的影响。

4、另类方法干扰非授权DHCP服务器：

在实际使用中笔者发现了一个另类的方法，该方法和上面介绍的消极防范结合起来使用效果还算不错。这个方法就是只要知道非授权的DHCP的IP，找台电脑设置和他同样的IP，能降低非授权DHCP发放的数量，这样在执行ipconfig /release和ipconfig /renew时获得合法网络信息的概率大大提高。

5、行政方法：

其实和众多网络管理方法一样，制定规范合理严格的规章制度是减小网络故障产生的最好手段。我们可以通过制度来约束网络中非授权服务的产生，对于提供非授权服务的用户给予行政上的处罚。

6、实打实屏蔽非授权DHCP服务器：

操作步骤如下：

第一步：知道了非授权DHCP服务器的IP地址后使用ping -a ip来反向查看他的计算机主机名。

第二步：根据ARP命令查询该计算机对应的MAC地址，也可以到合法DHCP服务器上查看缓存池中该IP对应的MAC地址。

(提示：屏蔽非授权DHCP服务器一定要从MAC地址来入手，因为IP地址可以修改而且自动获得IP的方法很多，获得的参数也会产生变化。)

第三步：知道了MAC地址后登录交换机执行sh mac address显示所有MAC地址与交换机端口的对应关系。(图2)

图2

第四步：我们就可以从显示的对应关系列表中查看到该MAC对应的端口号了，如果端口比较多还可以使用“sh mac address add 0011.5b5c.6214”这样的格式来查询0011.5b5c.6214这个MAC地址对应的端口。(如图3)

图3

第五步：找到对应的端口后通过int命令进入该接口，然后使用shutdown关闭该接口，从而阻断了该计算机与外界的联系。(如图4)

图4

这种方法存在一个问题，那就是如果使用的是集线器连接下方设备时，会在交换机上的一个端口学习到多个MAC地址，如果我们直接将该端口通过shutdown命令关闭的话，则集线器连接的所有设备都无法使用网络了。遇到这种情况我们可以使用基于MAC地址的访问控制列表来控制。具体命令为：

mac accesss-list extended softer 
　　deny host 0011.5b5c.6214 any 
　　permit any any 

然后在进入非授权DHCP所在的交换机端口执行如下命令：

mac access-group softer in

设置完毕后就阻止了MAC地址为0011.5b5c.6214的计算机对外网的访问，而又不影响连接到同一台集线器上的其他设备。

三、总结：

其实网络安全的最大危险来自网络内部，内部网络充斥着非授权使用网络者带来的危机，所以在平时就要对网络结构进行合理的规划，对网络参数的设置也要保留有详细的备案信息。这样当问题发现后我们就可以迅速的根据保留的数据第一时间发现问题的关键点。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

最新评论