在我們建設(shè)網(wǎng)絡(luò)中，安全一直是重中之重。那么對于非法DHCP服務(wù)器所帶來的影響大家是否清楚呢？那么都會(huì)發(fā)生什么樣的非法DHCP服務(wù)器問題呢？這里我們就來主要講解一下如何解決局域網(wǎng)非法DHCP服務(wù)器的問題。

最近公司里部分計(jì)算機(jī)頻繁出現(xiàn)不能上網(wǎng)的問題，這些計(jì)算機(jī)都是自動(dòng)獲得IP的，但經(jīng)過檢查我發(fā)現(xiàn)他們獲得的網(wǎng)關(guān)地址是錯(cuò)誤的，按照常理DHCP不會(huì)把錯(cuò)誤的網(wǎng)關(guān)發(fā)送給客戶端計(jì)算機(jī)的。后來我使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，用ipconfig /renew可以獲得真實(shí)的網(wǎng)關(guān)地址，而大部分獲得的仍然是錯(cuò)誤的數(shù)據(jù)。所以我斷言局域網(wǎng)中肯定存在其他的DHCP服務(wù)器，也叫做非法DHCP服務(wù)器。為什么真正的DHCP服務(wù)器分配的網(wǎng)絡(luò)參數(shù)無法正確傳輸?shù)娇蛻魴C(jī)上呢？

首先來了解下DHCP的服務(wù)機(jī)制：

一般公司內(nèi)部都會(huì)有一個(gè)DHCP服務(wù)器來給客戶端計(jì)算機(jī)提供必要的網(wǎng)絡(luò)參數(shù)信息的，例如IP地址，子網(wǎng)掩碼，網(wǎng)關(guān)，DNS等地址，很多情況路由器就可以擔(dān)當(dāng)此重任。每次客戶端計(jì)算機(jī)啟動(dòng)后都會(huì)向網(wǎng)絡(luò)中發(fā)送廣播包尋找DHCP服務(wù)器（前提是該計(jì)算機(jī)被設(shè)置為自動(dòng)獲得IP地址），廣播包隨機(jī)發(fā)送到網(wǎng)絡(luò)中，當(dāng)有一臺(tái)DHCP服務(wù)器收到這個(gè)廣播包后就會(huì)向該包源MAC地址的計(jì)算機(jī)發(fā)送一個(gè)應(yīng)答信息，同時(shí)從自己的地址池中抽取一個(gè)IP地址分配給該計(jì)算機(jī)。

為什么非法DHCP會(huì)被客戶端計(jì)算機(jī)認(rèn)為是合法的？

根據(jù)DHCP的服務(wù)機(jī)制，客戶端計(jì)算機(jī)啟動(dòng)后發(fā)送的廣播包會(huì)發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，究竟是合法DHCP服務(wù)器還是非法DHCP服務(wù)器先應(yīng)答是沒有任何規(guī)律的，客戶端計(jì)算機(jī)也沒有區(qū)分合法和非法的能力。這樣網(wǎng)絡(luò)就被徹底擾亂了，原本可以正常上網(wǎng)的機(jī)器再也不能連接到intelnet。

解決方法：

1、ipconfig /release 和 ipconfig /renew

我們可以通過多次嘗試廣播包的發(fā)送來臨時(shí)解決這個(gè)問題，直到客戶機(jī)可以得到真實(shí)的地址為止。即先使用ipconfig /release釋放非法網(wǎng)絡(luò)數(shù)據(jù)，然后使用ipconfig /renew嘗試獲得網(wǎng)絡(luò)參數(shù)，如果還是獲得錯(cuò)誤信息則再次嘗試/release與/renew直到得到正確信息。

提醒：這種方法治標(biāo)不治本，反復(fù)嘗試的次數(shù)沒有保證，另外當(dāng)DHCP租約到期后客戶端計(jì)算機(jī)需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會(huì)出現(xiàn)。

2、通過“域”的方式對非法DHCP服務(wù)器進(jìn)行過濾

將合法的DHCP服務(wù)器添加到活動(dòng)目錄（Active Directory）中，通過這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCP Server在相應(yīng)請求前，會(huì)向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCPINFORM查詢包， 如果其他DHCP Server有響應(yīng)，那么這個(gè)DHCP Server就不能對客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非法的就不起任何作用了。

提醒：這種方法效果雖然不錯(cuò)，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應(yīng)對日常的工作了。所以這個(gè)方法，效果也不錯(cuò)，但不太適合實(shí)際情況。

3、在路由交換設(shè)備上封端口

DHCP服務(wù)主要使用的是UDP的67和68端口，DHCP服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口，67端口為客戶機(jī)發(fā)送請求時(shí)使用。所以我們可以在路由器上保留服務(wù)器的68端口，封閉客戶機(jī)的68端口，就能達(dá)到過濾非法DHCP服務(wù)器的目的。

提醒：如果計(jì)算機(jī)很多的話，操作起來不方便，而且會(huì)增加路由器的負(fù)擔(dān)，影響到網(wǎng)絡(luò)速度。

4、查出非法DHCP服務(wù)器幕后黑手，進(jìn)行屏蔽

DHCP服務(wù)器也充當(dāng)著網(wǎng)關(guān)的作用，如果獲得了非法網(wǎng)關(guān)地址，也就是知道了非法DHCP服務(wù)器的IP地址。通過ping ip 查到主機(jī)名，通過arp 主機(jī)名 查出MAC地址。知道了MAC地址，就可以在路由器中屏蔽這個(gè)MAC，或者是屏蔽該MAC的68端口。或者其他的方法都行，幕后黑手都找到了，怎么處置就隨你了。我用的就是這第4種方法。