部署DHCP服務器
服務器為客戶端提供網絡服務���,這大大方便了網絡管理��?蛻舳诉B入網絡后會發(fā)送DHCP請求包����,DHCP服務器會應答并提供IP地址、子網掩碼���、網關����,DNS等信息����。但是,而當網絡中出現另外一臺非法的DHCP服務器將會怎樣呢?顯而易見�����,這必然造成網絡的混亂��,IP攻擊也就會觸發(fā)。"內鬼"難防����,如何防呢?
1、客戶端不斷請求
既然廣播包會發(fā)向網絡中的所有設備�,合法還是非授權服務器先應答是沒有任何規(guī)律的,那么我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題�,直到客戶機可以得到真實的地址為止。
客戶端在命令行中先敲入命令"ipconfig /release"釋放非授權網絡數據����,然后輸入命令"ipconfig /renew"嘗試獲得網絡參數����。如果還是獲得錯誤信息則再次嘗試上面兩條命令,直到得到正確信息���。不過這種方法治標不治本�,反復嘗試的次數沒有保證�����,一般都需要十幾次甚至是幾十次�,另外當DHCP租約到期后客戶端需要再次尋找DHCP服務器獲得信息����,故障仍然會出現���。
2��、通過DC對DHCP授權
一般我們使用的操作系統(tǒng)都是Windows��,微軟為我們提供了一個官方解決辦法����。在windows系統(tǒng)組建的網絡中�����,如果非授權DHCP服務器也是用Windows系統(tǒng)建立的話我們可以通過"域"的方式對非授權DHCP服務器進行過濾���。將合法的DHCP服務器添加到活動目錄(Active Directory)中��,通過這種認證方式就可以有效的制止非授權DHCP服務器了�。
原理就是沒有加入域中的DHCP Server在相應請求前�,會向網絡中的其他DHCP Server發(fā)送DHCP INFORM查詢包,如果其他DHCP Server有響應,那么這個DHCP Server就不能對客戶的要求作相應�,也就是說網絡中加入域的DHCP服務器的優(yōu)先級比沒有加入域的DHCP服務器要高��。這樣當合法DHCP存在時非授權的就不起任何作用了��。
授權合法DHCP的過程如下:"開始→程序→管理工具→DHCP"���,選擇DHCP, 用鼠標右鍵單擊選擇"添加服務器",然后瀏覽選擇需要認證的服務器��。點"添加"按鈕, 輸入要認證的DHCP服務器IP地址, 完成授權操作�。
這種方法效果雖然不錯,但需要域的支持�。要知道對于眾多中小企業(yè)來說"域"對他們是大材小用,基本上使用工作組就足以應對日常的工作了���。所以這個方法是微軟推薦的,效果也不錯�����,但不太適合實際情況�。另外該方法只適用于非授權DHCP服務器是windows系統(tǒng),對非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會有一定的問題����。
3�、在路由器/交換機上封殺
有的路由交換設備自身功能比較強��,例如具有extreme功能��,他可以自動抑制非授權dhcp的數據包���。如果沒有extreme功能我們如何提前預防非授權DHCP服務器的接入呢?
首先需要對DHCP數據包使用的端口有所了解�,DHCP服務主要使用的是UDP的67和68端口�,服務器端應答數據包使用68端口,67端口為客戶機發(fā)送請求時使用�����。所以我們可以在路由器和交換機上通過訪問控制列表來屏蔽除合法DHCP服務器以外的所有DHCP應答包����,也就是說將68端口封閉。具體命令為:access-list 108 deny udp any eq 68 any(見圖1)
圖1
這種方法只對于WINDOWS操作系統(tǒng)的DHCP服務器有效�����,對于在其他操作系統(tǒng)上建立的DHCP服務器則無法完全過濾��。而且大量的ACL也會降低路由交換設備的性能�����,使網絡速度受到一定的影響。
4�����、另類方法干擾
在實際使用中筆者發(fā)現了一個另類的方法�,該方法和上面介紹的消極防范結合起來使用效果還算不錯。這個方法就是只要知道非授權的DHCP的IP��,找臺電腦設置和他同樣的IP����,能降低非授權DHCP發(fā)放的數量,這樣在執(zhí)行ipconfig /release和ipconfig /renew時獲得合法網絡信息的概率大大提高����。
5、實施屏蔽
第一步:知道了非授權DHCP服務器的IP地址后使用ping -a ip來反向查看他的計算機主機名�。根據ARP命令查詢該計算機對應的MAC地址�����,也可以到合法DHCP服務器上查看緩存池中該IP對應的MAC地址���。 知道了MAC地址后登錄交換機執(zhí)行show mac add顯示所有MAC地址與交換機端口的對應關系�。(見圖2)
圖2
(提示:屏蔽非授權DHCP服務器一定要從MAC地址來入手,因為IP地址可以修改而且自動獲得IP的方法很多����,獲得的參數也會產生變化。)
第二步:我們就可以從顯示的對應關系列表中查看到該MAC對應的端口號了��,如果端口比較多還可以使用"sh mac address add 0180.c200.0005"這樣的格式來查詢0180.c200.0005這個MAC地址對應的端口���。(見圖3)
圖3
第三步:找到對應的端口后通過int命令進入該接口�����,然后使用shutdown關閉該接口���,從而阻斷了該計算機與外界的聯系。
利用這種方式屏蔽非授權DHCP服務器當使用的是集線器連接下方設備時���,會在交換機上的一個端口學習到多個MAC地址����,如果我們直接將該端口通過shutdown命令關閉的話,則集線器連接的所有設備都無法使用網絡了��。遇到這種情況我們可以使用基于MAC地址的訪問控制列表來控制���。具體命令為:
mac access-list extended test
deny host 0180.c200.0005 any
permit any any
(見圖4)
圖4
然后在進入非授權DHCP所在的交換機端口執(zhí)行如下命令:mac access-group test in設置完畢后就阻止了MAC地址為0180.c200.0005的計算機對外網的訪問�����,而又不影響連接到同一臺集線器上的其他設備����。
DHCP是網絡中的關鍵服務器����,做好它的"安保"至關重要,希望上面的安防措施對大家有所幫助���。
關鍵詞標簽:DHCP,IP攻擊
網絡安全管理軟件-PCHunter使用教程
虛擬主機中ASPX一些安全設置
“和諧”內網保護神——ProVisa內網安全管理
Discuz!配置文件中的安全設置