局域网“内鬼” 非授权DHCP服务器防范策略第1/2页

缘由:前段时间,朋友单位的局域网出现了一点问题要我帮忙看看。据朋友说,最近单位部分科室的计算机频繁出现不能上网的现象。询问朋友得知这些计算机都是开启了DHCP服务,自动获得IP,经过排查发现他们的网关地址都出现了问题。正确的地址应该是192.168.4.254,而这些故障计算机得到的网关地址却是192.168.4.65。部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢?原因很简单,网络中存在了另一个DHCP服务器,这个DHCP服务器将非授权网络信息分配给设置为自动获得IP地址的客户机。真是“内鬼”难防呀!下面就结合我的一些经验谈谈在局域网内如何有效地防范非授权DCHP服务器。

一、预备知识:

一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的,例如IP地址、子网掩码、网关,DNS等地址,很多情况路由器就可以担当此重任。每次员工计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址),广播包随机发送到网络中,当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息,同时从自己的地址池中抽取一个IP地址分配给该计算机。

合法DHCP服务器可以提供正确的数据,非授权DHCP服务器则提供的是错误的数据。我们如何让员工机器都通过合法DHCP服务器获得网络信息呢?如果是交换式网络则没有可能,因为广播包会发向网络中的所有设备,合法还是非授权服务器先应答是没有任何规律的。这样网络就被彻底扰乱了,原本可以正常上网的机器再也不能连接到INTERNET。

二、防范策略:

1、消极防范:

既然广播包会发向网络中的所有设备,合法还是非授权服务器先应答是没有任何规律的,那么我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。

先敲入如下命令:

ipconfig /release (该命令释放非授权网络数据)

然后敲入如下命令:

ipconfig /renew (尝试获得网络参数)

如果还是获得错误信息则再次尝试上面两条命令,直到得到正确信息。不过这种方法治标不治本,反复尝试的次数没有保证,一般都需要十几次甚至是几十次,另外当DHCP租约到期后员工机需要再次寻找DHCP服务器获得信息,故障仍然会出现。

2、官方提供的办法:

一般我们使用的操作系统都是Windows,微软为我们提供了一个官方解决办法。在windows系统组建的网络中,如果非授权DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非授权DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非授权DHCP服务器了。

原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCP INFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非授权的就不起任何作用了。

授权合法DHCP的过程如下:

第一步:开始->程序->管理工具->DHCP

第二步:选择DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。

第三步:点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。

这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法是微软推荐的,效果也不错,但不太适合实际情况。另外该方法只适用于非授权DHCP服务器是windows系统,对非Windows的操作系统甚至是NT4这样的系统都会有一定的问题。

3、路由交换设备上封杀:

有的路由交换设备自身功能比较强,例如具有extreme功能,他可以自动抑制非授权dhcp的数据包。如果没有extreme功能我们如何提前预防非授权DHCP服务器的接入呢?

首先需要对DHCP数据包使用的端口有所了解,DHCP服务主要使用的是UDP的67和68端口,服务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器和交换机上通过访问控制列表来屏蔽除合法DHCP服务器以外的所有DHCP应答包,也就是说将68端口封闭。

具体命令为: access-list 108 deny udp any eq 68 any (图1)

图1

这种方法也同样只对于WINDOWS操作系统的DHCP服务器有效,对于在其他操作系统上建立的DHCP服务器则无法完全过滤。而且大量的ACL也会降低路由交换设备的性能,使网络速度受到一定的影响。

4、另类方法干扰非授权DHCP服务器:

在实际使用中笔者发现了一个另类的方法,该方法和上面介绍的消极防范结合起来使用效果还算不错。这个方法就是只要知道非授权的DHCP的IP,找台电脑设置和他同样的IP,能降低非授权DHCP发放的数量,这样在执行ipconfig /release和ipconfig /renew时获得合法网络信息的概率大大提高。

5、行政方法:

其实和众多网络管理方法一样,制定规范合理严格的规章制度是减小网络故障产生的最好手段。我们可以通过制度来约束网络中非授权服务的产生,对于提供非授权服务的用户给予行政上的处罚。

6、实打实屏蔽非授权DHCP服务器:

操作步骤如下:

第一步:知道了非授权DHCP服务器的IP地址后使用ping -a ip来反向查看他的计算机主机名。

第二步:根据ARP命令查询该计算机对应的MAC地址,也可以到合法DHCP服务器上查看缓存池中该IP对应的MAC地址。

(提示:屏蔽非授权DHCP服务器一定要从MAC地址来入手,因为IP地址可以修改而且自动获得IP的方法很多,获得的参数也会产生变化。)

第三步:知道了MAC地址后登录交换机执行sh mac address显示所有MAC地址与交换机端口的对应关系。(图2)

图2

第四步:我们就可以从显示的对应关系列表中查看到该MAC对应的端口号了,如果端口比较多还可以使用“sh mac address add 0011.5b5c.6214”这样的格式来查询0011.5b5c.6214这个MAC地址对应的端口。(如图3)

图3

第五步:找到对应的端口后通过int命令进入该接口,然后使用shutdown关闭该接口,从而阻断了该计算机与外界的联系。(如图4)

图4

这种方法存在一个问题,那就是如果使用的是集线器连接下方设备时,会在交换机上的一个端口学习到多个MAC地址,如果我们直接将该端口通过shutdown命令关闭的话,则集线器连接的所有设备都无法使用网络了。遇到这种情况我们可以使用基于MAC地址的访问控制列表来控制。具体命令为:

mac accesss-list extended softer 
  deny host 0011.5b5c.6214 any 
  permit any any

然后在进入非授权DHCP所在的交换机端口执行如下命令:

mac access-group softer in

设置完毕后就阻止了MAC地址为0011.5b5c.6214的计算机对外网的访问,而又不影响连接到同一台集线器上的其他设备。

三、总结:

其实网络安全的最大危险来自网络内部,内部网络充斥着非授权使用网络者带来的危机,所以在平时就要对网络结构进行合理的规划,对网络参数的设置也要保留有详细的备案信息。这样当问题发现后我们就可以迅速的根据保留的数据第一时间发现问题的关键点。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • 局域网“内鬼” 非授权DHCP服务器防范策略第1/3页

    缘由:前段时间,朋友单位的局域网出现了一点问题要我帮忙看看.据朋友说,最近单位部分科室的计算机频繁出现不能上网的现象.询问朋友得知这些计算机都是开启了DHCP服务,自动获得IP,经过排查发现他们的网关地址都出现了问题.正确的地址应该是192.168.4.254,而这些故障计算机得到的网关地址却是192.168.4.65.部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据. 为什么真正的DHC

  • 局域网“内鬼” 非授权DHCP服务器防范策略第1/2页

    缘由:前段时间,朋友单位的局域网出现了一点问题要我帮忙看看.据朋友说,最近单位部分科室的计算机频繁出现不能上网的现象.询问朋友得知这些计算机都是开启了DHCP服务,自动获得IP,经过排查发现他们的网关地址都出现了问题.正确的地址应该是192.168.4.254,而这些故障计算机得到的网关地址却是192.168.4.65.部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据. 为什么真正的DHC

  • Yii2的XSS攻击防范策略分析

    本文实例讲述了Yii2的XSS攻击防范策略.分享给大家供大家参考,具体如下: XSS 漏洞修复 原则: 不相信客户输入的数据 注意: 攻击代码不一定在<script></script>中 ① 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了. ② 只允许用户输入我们期望的数据. 例如: 年龄的textbox中,只允许用户输入数字. 而数字之外的字符都过滤掉. ③ 对数据进行Html Enc

  • linux启动dhcp服务器步骤

    DHCP (Dynamic Host Configuration Protocol,动态主机管理协议)是一种基于UDP协议且仅限用于局域网的网络协议,主要用途是为局域网内部设备或网络供应商自动分配IP地址,通常会应用在大型的局域网环境中或局域网内存在比较多的移动办公设备,DHCP协议能够实现集中的管理.分配IP地址. DHCP服务程序能够使局域网内的主机自动且动态的获取IP地址.子网掩码.网关地址以及DNS服务器地址等信息,且能够有效的提升地址使用率,提高配置效率,减少管理和维护成本. 安装 #

  • Linux实现DHCP服务器的搭建

    目录 一.基础知识: 二.DHCP服务器的相关配置: 1.查看server的ip 2.查看DHCP服务的依赖包: 3.安装DHCP服务: 4.进行配置: 三.一个配置例子 一.基础知识: 1.DHCP简介: DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理.分配IP地址,使网络环境中的主机动态的获得IP地址.Gateway地址.DNS服务器地址等信息,并能够提升地址的使用率. 2.DHCP服

  • Win2008系统搭建DHCP服务器

    DHCP服务器即动态主机配置协议,它是一种服务器-多客户端技术,它允许DHCP服务器将IP地址分配给作为 DHCP客户端启用的计算机和其他设备. 2008ser搭建DHCP服务器步骤 1. 安装Windows Server 2008系统作为服务器端:客户端可安装其他Windows系统. 2. 进入2008ser系统,手动设置IP(未设置静态IP,后面无法继续) 3. 打开服务器管理器:系统中点击 “开始菜单程序”——> 管理工具 ——>服务器管理器 4. 进入服务器管理器,点击左侧的“角色”然

  • Linux搭建DHCP服务器的详细过程

    DHCP协议简介 DHCP(动态主机配置协议)是一个局域网的网络协议.指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码.DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理.分配IP地址,使网络环境中的主机动态的获得IP地址.Gateway地址.DNS服务器地址等信息,并能够提升地址的使用率.是一个局域网的网络协议.当DHCP服务器接收到来自网络

  • 通过批处理实现DHCP服务器批量配置保留地址

    在大家印象中,DHCP获取到的地址是有个租约的,租约一到是,客户端就会重新获取的IP地址,这时获取到的IP地址跟原来相比可能会改变的,这对网络管理很不利.用静态IP的话,不去动的话地址不会变,不过修改起来就要每台要每台机去划有点麻烦,容易出错. 其实DHCP一般都有地址保留地址功能,可以让客户端分配到一个固定的IP地址,在网络使用DHCP的情况下,这能给内网管理带来了极大的方便.不过保留地址配置起来就有点麻烦,要配置的数量少还好说,要是多的话,可就是个麻烦事啊.这中麻烦事就交给批处理吧.哈哈 本

  • ipfilter+ipnat包过滤、转发和DHCP服务器架构笔记

    通过架设此服务器,使网内客户端不用任何网络的配置,就可以直接网络互联网. 网络信息:网段 -> 192.168.61.0/24xl0 -> 内网网卡 192.168.61.254 (dhcp网卡)em0 -> 外网网卡 218.104.52.x/32

  • IIS 服务器 防范攻击3条安全设置技巧

    什么?你觉得安全设置很复杂?没关系,通过我们介绍的IIS服务器安全设置的三个方法,就能很好地防范攻击. 基本设置 打好补丁删除共享 个人站长通常使用Windows服务器,但是我们通过租用或托管的服务器往往不会有专门的技术人员来进行安全设置,所以就导致了一些常见的基本漏洞仍然存在.其实,只要通过简单的安装服务器补丁,就能防止大部分的漏洞入侵攻击. 在服务器安装好操作系统后,正式启用之前,就应该完成各种补丁的安装.服务器的补丁安装方法与我们使用的XP系统类似,这里就不再赘述. 做好了基本的补丁安装,

随机推荐