DHCP环境下防止非法DHCP服务器的措施探讨

DHCP环境下防止非法DHCP服务器的措施探讨 在使用TCP/IP协议的网络中，每个主机都必须有一个IP地址，通过该地址可以与网络上的其他计算机通信。IP地址分配有两种方法：一种是手工静态分配，另一种是DHCP服务器动态分配。DHCP（Dynamic Host-Configuration Protocol）是一种有效的IP地址分配方法，在各种局域网管理中得到了广泛的应用。它可以动态地为网络中的每台计算机分配一个唯一的IP地址，并提供一个安全、可靠、简单、统一的TCP/IP网络配置，以确保没有IP地址冲突。构建DHCP服务器有两种方法：一种是将具有网络操作系统的工作站配置到其子网中的虚拟路由器中，以便连接LAN中的不同子网。这种方法的缺点是每个子网至少需要一个虚拟路由器，这增加了网络建设的成本。二是利用交换机的DHCP功能，自动为交换机下的计算机用户分配IP地址。使用交换机作为DHCP服务器有三个优点：一是省钱，不需要额外使用虚拟路由器；二是防病毒；三是由于交换机运行稳定，可以提供稳定的DHCP服务器。 为了充分发挥DHCP服务的功能，必须做好网络中非法DHCP服务器的防范工作。在DHCP的实际应用中，无论采用何种方式构建DHCP服务器，都会面临非法DHCP服务器在网络中动态分配IP地址的干扰，使正常访问Internet的机器无法再访问Internet。据分析，非法DHCP服务器可能造成的危害有：故意干扰网络正常使用；故意捕获网络用户数据消息；有人学习配置DHCP服务器，无意建立DHCP服务器[2]。因此，本文主要探讨如何在DHCP环境下有效地防止非法DHCP服务器，使网络中的DHCP功能能够正常、稳定地运行。 1 DHCP服务的工作过程 DHCP的工作过程如下： 1） 发现阶段：DHCP客户端查找DHCP服务器。客户端通过广播发送DHCP discover消息，即发送特定广播消息到地址255.255.255.255。网络上安装TCP/IP的所有主机都将收到该消息，但只有DHCP服务器响应。 2） 设置阶段：接收DHCP discover消息的DHCP服务器向客户端发送包含租用IP和其他设置的DHCP offer消息。 3） 选择阶段：DHCP客户端只接受第一个接收到的DHCP提供的信息，然后以广播模式应答DHCP请求消息以通知所有DHCP服务器。它将选择由DHCP服务器提供的IP地址。 4） 确认阶段：当DHCP服务器接收到DHCP客户端应答的DHCP请求消息时，它会向DHCP客户端发送包含IP地址和它提供的其他设置的DHCP ack确认消息。DHCP客户端将其TCP/IP协议绑定到网卡。此外，除了DHCP客户端选择的服务器外，其他DHCP服务器将回收提供的IP地址。 5） 再次登录：当DHCP客户端再次登录到网络时，它不需要发送DHCP发现发现信息，而是直接发送包含以前分配的IP地址的DHCP请求信息。 如何防止非法DHCP服务器 通过分析DHCP的工作过程和非法DHCP服务器可能造成的危害，提出了四种防止非法DHCP服务的方法。 2.1设置访问开关的访问控制列表以禁用非法的DHCP服务器 RFC将DHCP服务器的67端口定义为DHCP服务器的端口，68端口定义为客户端的端口。这样，管理员可以通过设置访问控制列表来禁用非法的DHCP服务器，即检测从端口67流入端口68的所有UDP广播包，并拒绝源端口67、目标端口68的所有UDP广播包。 2.2通过域控制器授权过滤非法的DHCP服务器 目前，90%以上的客户端操作系统是微软的windows操作系统。微软还提供了一种防止非法DHCP服务器的有效方法。在使用Windows系统的计算机网络中，DHCP服务器在安装后不能提供服务，必须经过授权过程。如果已部署活动目录，则作为DHCP服务器运行的所有计算机都必须是要授权的域控制器或域成员服务器，并向客户端提供DHCP服务。如果未授权的DHCP服务器检测到同一子网中存在授权服务器，它将自动停止向DHCP客户端提供可租用的IP地址。 2.3通过ARP命令查找并屏蔽非法DHCP服务器 DHCP服务器还充当网关。如果得到非法的网关地址，就知道非法DHCP服务器的IP地址。在IP地址非法的计算机上，通过arp-a命令查找非法DHCP服务器的MAC地址，在上层网管交换机中查找MAC地址从哪个端口上行，在端口下查找交换机，然后在交换机上逐个拔出网线，找出非法DHCP的位置。 2.4通过DHCP监听技术防止非法的DHCP服务器 DHCP监听技术是DHCP的安全特性。通过建立和维护DHCP snooping的绑定表来过滤不可信区域的信息，保证网络安全。当交换机开启DHCP监听功能时，将监听DHCP消息，提取并记录IP地址和MAC地址信息。此外，DHCP snooping允许将物理端口设置为信息商品或不受信任的端口。受信任的端口可以正常接收和转发DHCP提供消息，而不受信任的端口将丢弃接收到的DHCP提供消息。这样，交换机可以屏蔽非法的DHCP服务器，并确保客户端从合法的DHCP服务器获取IP地址。[三] 3结束语 使用DHCP动态分配IP地址时，必须考虑防止非法的DHCP服务器。本文讨论了在DHCP环境下防止非法DHCP服务器的一些有效措施，以保证网络中的DHCP服务能够健康、稳定地工作。