缘由:前段时间,朋友单位的局域网出现了一点问题要我帮忙看看。据朋友说,最近单位部分科室的计算机频繁出现不能上网的现象。询问朋友得知这些计算机都是开启了DHCP服务,自动获得IP,经过排查发现他们的网关地址都出现了问题。正确的地址应该是192.168.4.254,而这些故障计算机得到的网关地址却是192.168.4.65。部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。
为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢?原因很简单,网络中存在了另一个DHCP服务器,这个DHCP服务器将非授权网络信息分配给设置为自动获得IP地址的客户机。真是“内鬼”难防呀!下面就结合我的一些经验谈谈在局域网内如何有效地防范非授权DCHP服务器。
一、预备知识:
一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的,例如IP地址、子网掩码、网关,DNS等地址,很多情况路由器就可以担当此重任。每次员工计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址),广播包随机发送到网络中,当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息,同时从自己的地址池中抽取一个IP地址分配给该计算机。
合法DHCP服务器可以提供正确的数据,非授权DHCP服务器则提供的是错误的数据。我们如何让员工机器都通过合法DHCP服务器获得网络信息呢?如果是交换式网络则没有可能,因为广播包会发向网络中的所有设备,合法还是非授权服务器先应答是没有任何规律的。这样网络就被彻底扰乱了,原本可以正常上网的机器再也不能连接到INTERNET。
二、防范策略:
1、消极防范:
既然广播包会发向网络中的所有设备,合法还是非授权服务器先应答是没有任何规律的,那么我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。
先敲入如下命令:
ipconfig /release (该命令释放非授权网络数据)
然后敲入如下命令:
ipconfig /renew (尝试获得网络参数)
如果还是获得错误信息则再次尝试上面两条命令,直到得到正确信息。不过这种方法治标不治本,反复尝试的次数没有保证,一般都需要十几次甚至是几十次,另外当DHCP租约到期后员工机需要再次寻找DHCP服务器获得信息,故障仍然会出现。
2、官方提供的办法:
一般我们使用的操作系统都是Windows,微软为我们提供了一个官方解决办法。在windows系统组建的网络中,如果非授权DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非授权DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非授权DHCP服务器了。
原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCP INFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非授权的就不起任何作用了。
授权合法DHCP的过程如下:
第一步:开始->程序->管理工具->DHCP
第二步:选择DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。
第三步:点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。
这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法是微软推荐的,效果也不错,但不太适合实际情况。另外该方法只适用于非授权DHCP服务器是windows系统,对非Windows的操作系统甚至是NT4这样的系统都会有一定的问题。
