DHCP攻击与防御
DHCP攻击与防御
【实验名称】
DHCP攻击与防御
【实验目的】
使用交换机的DHCP监听功能增强网络安全性
【背景描述】
某企业网络中,为了减小网络编址的复杂性和手工配置IP地址的工作量,使用了DHCP 为网络中的设备分配IP地址。但网络管理员发现最近经常有员工抱怨无法访问网络资源,经过故障排查后,发现客户端PC通过DHCP获得了错误的IP地址,从此现象可以判断出网络中可能出现了DHCP攻击,有人私自架设了DHCP服务器(伪DHCP服务器)导致客户端PC不能获得正确的IP地址信息,以至不能够访问网络资源。
【需求分析】
对于网络中出现非法DHCP服务器的问题,需要防止其为客户端分配IP地址,仅允许
合法的DHCP服务器提供服务。交换机的DHCP监听特性可以满足这个要求,阻止非法服务器为客户端分配IP地址。
【实验拓扑】
【实验设备】
三层交换机
二层交换机
PC机
1台(支持DHCP监听)
1台(支持DHCP监听)
3台(其中2台需安装DHCP服务器)
【预备知识】
交换机转发原理
交换机基本配置
DHCP监听原理
【实验原理】
交换机的DHCP监听特性可以通过过滤网络中接入的伪DHCP(非法的、不可信的)
发送的DHCP报文增强网络安全性。DHCP监听还可以检查DHCP客户端发送的DHCP 报文的合法性,防止DHCP DoS攻击。
【实验步骤】
第一步:配置DHCP服务器
将两台PC配置为DHCP服务器,一台用做合法服务器,另一台用作伪服务器(Rogue DHCP Server)。可以使用Windows Server配置DHCP服务器,或者使用第三方DHCP服务器软件。合法DHCP服务器中的地址池为,伪DHCP服务器的地址池为
第二步:SW2基本配置(接入层)
Switch#configure
Switch(config)#hostname SW2
SW2(config)#vlan 2
SW2(config-vlan)#exit
SW2(config)#interface range fastEthernet 0/1-2
SW2(config-if-range)#switchport access vlan 2
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport mode trunk
SW2(config-if)#end
SW2#
第三步:SW1基本配置(分布层)
Switch#configure
Switch(config)#hostname SW1
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#switchport mode trunk
SW1(config-if)#exit
SW1(config)#vlan 2
SW1(config-vlan)#exit
SW1(config)#interface vlan 2
SW1(config-if)#ip address
SW1(config-if)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#interface vlan 100
SW1(config-if)#ip address
SW1(config-if)#exit
SW1(config)#interface fastEthernet 0/1
SW1(config-if)#switchport access vlan 100
SW1(config-if)#end
SW1#
第四步:将SW1配置为DHCP Relay
SW1#configure
SW1(config)#service dhcp
SW1(config)#ip helper-address
!配置DHCP中继,指明DHCP服务器地址
SW1(config)#end
SW1#
第五步:验证测试
确保两台DHCP服务器可以正常工作。将客户端PC配置为自动获取地址后,接入交
换机端口,此时可以看到客户端从伪DHCP服务器获得了错误的地址。
下图为在客户端上使用Ethereal捕获的报文,可以看到,客户端先接收到了伪DHCP
服务器发送的DHCP Offer报文,后收到通过DHCP Relay发送的DHCP Offer报文。根据通常DHCP协议的实现,客户端将使用收到的第一个响应报文(DHCP Offer)中的信息。第六步:在SW1上配置DHCP监听
SW1#configure
SW1(config)#ip dhcp snooping
!开启DHCP snooping功能
SW1(config)#interface fastEthernet 0/1
SW1(config-if)#ip dhcp snooping trust
!配置F0/1为trust端口
SW1(config-if)#exit
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#ip dhcp snooping trust
!配置F0/24为trust端口
SW1(config-if)#end
SW1#
第七步:在SW2上配置DHCP监听
SW2#configure
SW2(config)#ip dhcp snooping
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#ip dhcp snooping trust
SW2(config-if)#end
SW2#
第八步:验证测试
将客户端之前获得的错误IP地址释放(使用Windows命令行ipconfig/release),再使
用ipconfig/renew重新获取地址,可以看到客户端获取到了正确的IP地址。
由于配置了DHCP监听,并且伪DHCP服务器连接的端口为非信任端口,所以交换机
丢弃了伪DHCP服务器发送的响应报文。下图为在客户端上使用Ethereal捕获的报文,可以看到,客户端只接收到了通过DHCP Relay发送的DHCP Offer报文,未接收到伪DHCP 服务器发送的DHCP Offer报文。
【注意事项】
DHCP监听只能够配置在物理端口上,不能配置在VLAN接口上
【参考配置】
SW1#show running-config
Building configuration...
Current configuration:1427 bytes
!
hostname SW1
!
!
!
如有你有帮助,请购买下载,谢谢!vlan 1
!
vlan 2
!
vlan 100
!
!
service dhcp
ip helper-address
ip dhcp snooping
!
!
!
!
interface FastEthernet 0/1
switchport access vlan 100
ip dhcp snooping trust
!
interface FastEthernet 0/2
!
interface FastEthernet 0/3
!
interface FastEthernet 0/4
!
interface FastEthernet 0/5
!
interface FastEthernet 0/6
!
interface FastEthernet 0/7
!
interface FastEthernet 0/8
!
interface FastEthernet 0/9
!
interface FastEthernet 0/10
!
interface FastEthernet 0/11
!
interface FastEthernet 0/12
!
interface FastEthernet 0/13
!
interface FastEthernet 0/14
!
interface FastEthernet 0/15
!
interface FastEthernet 0/16
!
interface FastEthernet 0/17
!
interface FastEthernet 0/18
!
interface FastEthernet 0/19
!
interface FastEthernet 0/20
!
interface FastEthernet 0/21
!
interface FastEthernet 0/22
!
interface FastEthernet 0/23
!
interface FastEthernet 0/24
非法DHCP服务器攻击的防御
非法DHCP服务器攻击的防御 现今校园网络DHCP服务是一种非常常见的服务,该服务简化了海量学生PC、教室PC、服务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为,这种行为可能是一种恶意操作,也可能是一种无意无操作,比如安装Windows 2000 server的客户端,不小心启用DHCP服务。这种操作无论哪种原因产生的,都会对校园网的运行产生负面影响。第一正常用户从非法DHCP获得非法IP地址,就无法获取正确的网关和DNS等信息;第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突,可能刚好和某些重要校园服务器地址冲突,会影响校园网关键应用的运行。 非法DHCP服务器攻击原理 在某些情况下,入侵者可以将一个DHCP 服务器加入网络,令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器(DNS 和WINS)提供错误的DHCP 信息,从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限,例如用户名和密码,而其他用户对攻击一无所知。过程如下: 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 用户采用第一个响应其请求的DHCP Server,得到错的DHCP信息 正确的DHCP Server发出DHCP Offer,用户不采用 如何防范非法DHCP服务器攻击-DHCP Snooping 非信任端口
如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文,其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。 因此,通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。 启动DHCP Snooping,将合法DHCP Server的端口设为信任端口,其他端口默认情况下均为非信任端口 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP Offer DHCP Snooping 非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交换机的下行端口(用户接口)设置为DHCP Snooping untrust,将上行端口(连向核心网和汇聚网)设置为DHCP Snooping trust。H3C E328/E352 E126A/E152产品支持DHCP Snooping 非信任端口,可以有效防控校园网内部的非法DHCP服务器攻击发生。
强制性使用DHCP获取ip地址
限制用户使用静态IP,只能通过DHCP获取地址的方法 L3(dhcp server/93 1/0/0)------(0/0/3)L2(33 0/0/1口)-----pc(4487-fc43-2dea) 需求:要求L3作dhcp server,仅为某一些mac分配固定的ip,其他未明示的mac不允许获得ip,同时已经明示的mac只能使用指定的ip,不能私自修改ip. 1、在dhcp server组里做静态的ip和mac绑定,使ip分配正确。 2、在dhcp server全局再单独做ip和mac的静态表,并在接口开启ip check/arp check,使用户私改ip无法上网,同时也不会产生arp冲突。 3、在L2上作静态表,只写mac,然后在接口开启ip检查,或者在vlan开启ip检查. L2配置: !Software Version V100R005C01SPC100 sysnameQuidway # vlan batch 10 # user-bind static mac-address 4487-fc43-2dea--------允许pc mac通过,不能写ip,因为dhcp discover交互的报文没有ip。 user-bind static mac-address 0018-82b3-c6ff--------允许服务器的mac。 # undo http server enable # drop illegal-mac alarm # vlan 10 ip source check user-bind enable-------------------在vlan里开启ip检查。 ip sour # L3配置: [Quidway]dis cu # !Software Version V100R003C00SPC200 sysnameQuidway # vlan batch 1 6 10 20 # dhcp enable
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服 务器的方法 网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗, 测试工程师:能~很多交换机上的小功能都可帮大忙。 测试实况: IP与MAC绑定 思科的Catalyst 3560交换机支持DHCPSnooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能,这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。 思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP 地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率,但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。
如何解决局域网非法DHCP服务器问题
如何解决局域网非法DHCP服务器问题? 最近公司里部分计算机频繁出现不能上网的问题,这些计算机都是自动获得IP的,但经过检查我发现他们获得的网关地址是错误的,按照常理DHCP不会把错误的网关发送给客户端计算机的。后来我使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的DHCP服务器,也叫做非法DHCP服务器。为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢? 首先来了解下DHCP的服务机制: 一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的,例如IP地址,子网掩码,网关,DNS等地址,很多情况路由器就可以担当此重任。每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址),广播包随机发送到网络中,当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息,同时从自己的地址池中抽取一个IP地址分配给该计算机。 为什么非法DHCP会被客户端计算机认为是合法的? 根据DHCP的服务机制,客户端计算机启动后发送的广播
包会发向网络中的所有设备,究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的,客户端计算机也没有区分合法和非法的能力。这样网络就被彻底扰乱了,原本可以正常上网的机器再也不能连接到intelnet。解决方法: 1、ipconfig /release 和ipconfig /renew 我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。 提醒:这种方法治标不治本,反复尝试的次数没有保证,另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息,故障仍然会出现。 2、通过“域”的方式对非法DHCP服务器进行过滤 将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM 查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器
解决局域网中干扰DHCP服务器的办法
解决局域网中干扰DHCP服务器的办法~[复制链接]发表于 2010-10-8 10:45 |来自51CTO网页 [只看他]楼主 一般在局域网环境下,如果是规模比较大的工厂或者宿舍,如果是相对简单的局域网架构的话,很容易受到非法DHCP设备的干扰。 比如说,IP地址是172.16.xx.xx是合法的地址,DHCP地址池比如172.16.0.1~172.16.1.254 是合法的。一般情况下,桌面级网络设备,我们会使用八口或者16口的交换机。但遇到管理不严格的单位会有些人在办公室私接共享用的小宽带路由器,或者是无线宽带路由器。而这些设备的DHCP又是默认开启的,一般不熟悉网络的人,不会去关闭。于是就会造成一个局域网中有两个DHCP服务器,一个是合法的,一个是非法的。 前提是所有的交换机都是智能可管理的,而且最好是对新技术支持比较好的 例如我用的H3C 的1626交换机。 首先,我把H3C 1626的DHCP-SNOOPING功能开启。这样交换机可以自动监视DHCP的请求和应答信息,并记录这些信息来自的以太端口和IP >system #dhcp-snooping 然后将交换机的上联口和下联口都设置为信任端口,这样交换机可以接收到上级交换机传下来的DHCP信息,也可以将这个DHCP信息传递到下级交换机。但是到终端电脑的其他端口都设置为非信任端口。(注意,默认所有的交换机端口都是信任端口) int eth 0/x dhcp-snooping trust 设置为信任端口 undo dhcp-snoop trust 设置为非信任端口 这样可以防止掉非法的DHCP信息 怎样找出那个非法源呢? 可以查看DHCP-SNOOPING记录的表 dis dhcp-snooping 找到非法的DHCP源IP地址条目后,将该条目相应的以太网口down掉。
DHCP多作用域
DHCP及DHCP多作用域服务器工作原理 2007-11-18 20:39:02 标签:DHCP职场休闲多作用域服务器 一、DHCP服务是什么 DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址,以及一个DNS服务器的IP地址。 二、DHCP服务在实际应用中的常见问题 1、在一个子网内是否可以存在多台DHCP服务器,如果存在的话,那么该子网中的客户机能否正确获取地址,将会获取哪个DHCP服务器所分配的地址,是否能控制客户机器能从管理人员所设置的DHCP服务器中获取地址而不会从一些非法用户自建的DHCP服务器中取得非法得IP? 2、如果网络中存在多个子网,而子网的客户机需要DHCP服务器提供地址配置,那么是采取在各个子网都安装一台DHCP服务器,还是只在某一个子网中安装DHCP服务器,让它为多个子网的客户机分配IP地址,应该如何实现? 3、如果采取在一个子网中安装DHCP服务器,让它为多个子网的客户机分配IP地址,那么应该需要在一台DHCP服务器中创建多个不同范围的作用域,而我们如何可以准确地保证相应范围的地址峙涓 嘤ψ油 刂骰 兀? 4、如果客户机器无法从DHCP服务器中获取IP地址,那么Windows2000客户机器将会如何处理自己的TCP/IP
设置? 三、DHCP的工作原理 要解析第二点中所提的问题,首先要搞清楚DHCP的实际的工作过程及原理,下面就对此做简单介绍:DHCP 是一个基于广播的协议,它的操作可以归结为四个阶段,这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。 1. 寻找Server。当DHCP客户端第一次登录网路的时候﹐也就是客户发现本机上没有任何IP资料设定﹐它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路﹐所以封包的来源地址会为0.0.0.0﹐而目的地址则为255.255.255.255﹐然后再附上DHCPdiscover的信息﹐向网路进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应.DHCPdiscover的等待时间预设为1秒也就是当客户端将第一个DHCPdiscover封包送出去之后在1秒之内没有得到回应的话就会进行第二次DHCPdiscover广播。在得不到回应的情况下客户端一共会有四次DHCPdiscover广播(包括第一次在内)除了第一次会等待1秒之外其余三次的等待时间分别是9 13 16秒。如果都没有得到DHCP服务器的回应客户端则会显示错误信息宣告DHCPdiscover的失败。之后基于使用者的选择系统会继续在5分钟之后再重一次DHCPdiscover的要求。 2. 提供IP租用位址。当DHCP服务器监听到客户端发出的DHCPdiscover广播后﹐它会从那些还没有租出的位址范围内﹐选择最前面的的空置IP,连同其它TCP/IP设定,回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址﹐所以在其DHCPdiscover封包内会带有其MAC位址信息﹐并
网络安全方面题目
第一章 1、端口号的分类范围 ●Well-known 端口0-1023:一般固定分配给一些服务 ●注册端口:1024-49151:它们被LANA分配给每个专用程序 ●动态或私有端口:49152-65535: 2、OSI7层 物理层(最底层、第一层),这一层的数据叫比特;数据链路层,交换机,这一层的数据叫帧;网络层,路由器,这一层的数据叫数据包;传输层,定义了一些传输数据的协议和端口号(WWW端口80等;工作在传输层的一种服务是T C P / I P 协议套中的T C P (传输控制协议),另一项传输层服务是I P X / S P X 协议集的S P X (序列包交换)。这一层数据叫段;会话层,通过传输层(端口号:传输端口与接收端口)建立数据传输的通路;表示层,表示层管理数据的解密与加密,如系统口令的处理;表示层协议还对图片和文件格式信息进行解码和编码;应用层,终端应用;文件传输、文件管理及电子邮件的信息处理。 3、常见端口号 ●21端口分配给FTP(文件传输协议)服务 ●25端口分配给SMTP(简单邮件传输协议)服务, ●80端口分配给HTTP服务, ●135端口分配给RPC(远程过程调用)服务等等。 4、危险的端口号,是什么服务:135; 端口:135 服务:Location Service 说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 5、137端口号,主要作用是什么,IP地址查询;138,136,139 端口:137、138、139 ,服务:NETBIOS Name Service 说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows 文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 6、TCP三次握手,四次挥手连接断开 第二章 1、什么是对称加密,什么是非对称加密,意义在哪里,区别在哪里,要理解掌握 2、公钥(非对称加密)跟私钥(对称加密)要理解,相关关系要明白。 3、流密码和分组密码都属于对称密钥算法。流密码的基本思想是利用密钥产生一个密钥流,并通过相应的规则对明文串进行寄卖合计没处理。而分组密码是将明文分为固定长度的分组,然后通过若干轮函数的迭代操作来产生密文。函数由于在每一轮的操作中都是用,所以称为轮函数,其本轮的输入时上一轮的输出加上密钥。 4、流密码有:基于移位寄存器及硬件实现的A5/1算法;基于软件实现的流密码RC4算法。 5、分组加密有:DES、3DES、AES、IDEA、RC5/RC6,TEA。 6、非对称加密算法:RSA,DH算法,椭圆曲线算法 7、Des加密算法(大题),流程图,怎么实现这个加密,要看懂
dhcp服务器无法绑定到udp端口号67
竭诚为您提供优质文档/双击可除dhcp服务器无法绑定到udp端口号67 篇一:无法启用Dhcp 如上图所示,在启用深度网吧ghosT辅助工具Dhcp时失败,提示: 引用内容 couldnotbindsocket.Addressandportarealreadyinuse. 原因是服务需要的端口被其他应用程序占用了,那问题是本服务需要使用哪个端口?该端口又被哪个应用程序占 用了呢?如果能回答这两个问题,那问题也就解决了。 解决步骤 ①.在另一台机子上安装深度网吧ghosT辅助工具,启用Dhcp服务后查看其使用的端口: 从上图得知,Dhcp 服务是使用 uDp的67和69端口。 ②.在服务器上查看uDp的67和69端口都被谁占用了:
检查发现uDp67端口是辅助工具自己使用,而uDp69端口被其他应用程序占用了: 好了,将3cTFTps.exe 关闭后深度网吧ghosT辅助工具Dhcp服务就能启用了 查看进程占用的端口号和ID:netstat–ano 篇二:Dhcp服务器的配置实验报告(1) 云南师范大学信息学院 实验报告 1 2 3 4 5 篇三:如何解决局域网非法Dhcp服务器问题 如何解决局域网非法Dhcp服务器问题? 最近公司里部分计算机频繁出现不能上网的问题,这些计算机都是自动获得Ip的,但经过检查我发现他们获得的网关地址是错误的,按照常理Dhcp不会把错误的网关发送给客户端计算机的。后来我使用ipconfig/release释放获得的网络参数后,用ipconfig/renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的Dhcp服务器,也叫做非法Dhcp服务器。
限制非法DHCP服务器的多种方法
限制非法DHCP服务器的多种方法 [网友提问]最近公司里部分员工计算机频繁出现不能上网的问题,这些计算机都是自动获得IP的,经过排查发现他们的网关地址都出现了问题,正确的地址应该是10.82.4.254,而这些故障计算机得到的网关地址却是10.82.4.65。部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。为什么真正的DHCP 服务器分配的网络参数无法正确传输到客户机上呢?希望的高手能帮帮我。 [解答]这位朋友遇到的问题确实是棘手的问题。原因很简单,网络中存在了另一个DHCP服务器,这个DHCP服务器将非法网络信息分配给设置为自动获得IP地址的客户机。今天我就根据这个问题详细的讲解下如何有效的防范网内非法DCHP服务器。 1、非法DHCP带来的灾害: 一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的,例如IP地址,子网掩码,网关,DNS等地址,很多情况路由器就可以担当此重任。每次员工计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址),广播包随机发送到网络中,当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息,同时从自己的地址池中抽取一个IP地址分配给该计算机。 合法DHCP服务器可以提供正确的数据,非法DHCP服务器则提供的是错误的数据。我们如何让员工机器都通过合法DHCP服务器获得网络信息呢?如果是交换式网络则没有可能,因为广播包会发向网络中的所有设备,合法还是非法服务器先应答是没有任何规律的。这样网络就被彻底扰乱了,原本可以正常上网的机器再也不能连接到INTERNET。 [NextPage] 2、消极防范: 既然广播包会发向网络中的所有设备,合法还是非法服务器先应答是没有任何规律的,那么我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。问题中网友使用的方法就是此手段。即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。
屏蔽非法DHCP
[网友提问]最近公司里部分员工计算机频繁出现不能上网的问题,这些计算机都是自动获得IP的,经过排查发现他们的网关地址都出现了问题,正确的地址应该是10.82.4.254,而这些故障计算机得到的网关地址却是10.82.4.65。部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew 可以获得真实的网关地址,而大部分获得的仍然是错误的数据。为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢?希望IT168的高手能帮帮我。 [IT168解答]这位朋友遇到的问题确实是棘手的问题。原因很简单,网络中存在了另一个DHCP服务器,这个DHCP服务器将非法网络信息分配给设置为自动获得IP地址的客户机。今天我就根据这个问题详细的讲解下如何有效的防范网内非法DCHP服务器。 1、非法DHCP带来的灾害: 一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的,例如IP地址,子网掩码,网关,DNS等地址,很多情况路由器就可以担当此重任。每次员工计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址),广播包随机发送到网络中,当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息,同时从自己的地址池中抽取一个IP地址分配给该计算机。 合法DHCP服务器可以提供正确的数据,非法DHCP服务器则提供的是错误的数据。我们如何让员工机器都通过合法DHCP服务器获得网络信息呢?如果是交换式网络则没有可能,因为广播包会发向网络中的所有设备,合法还是非法服务器先应答是没有任何规律的。这样网络就被彻底扰乱了,原本可以正常上网的机器再也不能连接到INTERNET。 2、消极防范: 既然广播包会发向网络中的所有设备,合法还是非法服务器先应答是没有任何规律的,那么我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。问题中网友使用的方法就是此手段。即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。 不过这种方法治标不治本,反复尝试的次数没有保证,一般都需要十几次甚至是几十次,另外当DHCP租约到期后员工机需要再次寻找DHCP服务器获得信息,故障仍然会出现。 3、官方提供的办法: 一般我们使用的操作系统都是Windows,微软为我们提供了一个官方解决办法。在windows系统组建的网络中,如果非法DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非法DHCP服务器进行过滤。 将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server 在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。 授权合法DHCP的过程如下: 第一步:开始->程序->管理工具->DHCP 第二步:选择DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。 第三步:点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。 这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法是微软推荐的,效果也不错,但不太适合实际情况。另外该方法只适用于非法DHCP服务器是windows系统,对非Windows的操作系统甚至是NT4这样的系统都会有一定的问题。 4、路由交换设备上封杀: 有的路由交换设备自身功能比较强,例如具有extreme功能,他可以自动抑制非法dhcp的数据包。如果没有extreme功能我们如何提前预防非法DHCP服务器的接入呢?
局域网中非法搭建DHCP服务故障探讨
局域网中非法搭建DHCP服务故障探讨 湖北省枝江市第三高级中学杨华443200 熟悉网络管理的朋友对DHCP服务并不陌生,它给我们的网络管理带来极大的方便,只要在DHCP服务端配置好,可以让终端用户快速方便上网,无须作任何参数设置。但如果配置不当,架设不正确,它会让我们的网络不通,而且查找起来很麻烦了。下面以本人工作所遇到故障为例,相信也是大多网络管理人员经常碰到的,从故障现象、故障原因、故障排除几方面加以分析。 一、故障现象: 网络用户反映:网络连接正常,而且还可以访问到部分办公室计算机了,但就是上不了网。我们查看了一下故障,发现故障现象也很明显,即上不去网的用户获得了一个以192.168.1打头的IP地址,网关为192.168.1.1(我们单位的路由器IP是的192.168.0.1),这明显是通过一台非法搭建的路由器获得的IP地址,随后我们在该用户计算机的浏览器上登录192.168.1.1这个地址,即打开了一台宽带路由器的管理界面,好在这台路由器的用户名/密码是默认的admin/admin,我们登陆进去,将该路由器的DHCP功能关闭,进行完以上操作后整个办公室的网络又稳定了一段时间,但是前几天又有用户反映说是上不去网了,我们查了一下,故障现象跟上次的一样,但是由于这次路由器被更改了登陆密码,所以我们不能通过关闭该路由器的DHCP 功能来解决问题了,这次到了彻底解决问题的时候了,一定要在局域网中揪出这台私自为用户分配IP地址的宽带路由器,才有可能保证
局域网的安全稳定运行。 二、故障原因分析: 如下图所示: 一般来讲,网络用户通过网络设备(交换机或其它)连接到路由器A,并通过DHCP服务获取上网的相关参数.即可上网.但随着网络用户的增多,尤其是笔记本用户,无了实现无线上网,在很多办公室都架设一个无线路由共享上网。这样就导致网络中其它的用户也就可能从这个无线路由获取IP了。这里有两种情况 1、无线路由器默认的DHCP服务是打开的,而且网关是192.168.1.1。一般用户只设置了无线网络参数,这样网络用户就从它获取了IP,导致在小范围的局域网是通的,但与外网不通了,不能上网。 2、情况跟上面一样了,但稍稍有点网络知识的人就知道分别设置一下LAN端口和W AN端口网络参数,这样导致同样IP是192.168.1打头的用户确可以上网了。即便这样,从技术上完全可以的,但从网络管理上来讲是不科学的,因为它没有必要架设一个路由,增加网络运行负担了。 三、故障排除 1、加强网络配置管理规范化。
交换机的dhcp snooping拒绝非法dhcp服务配置
使用交换机的dhcp snooping拒绝非法dhcp服务 配置DHCP Snooping DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN 域内的所有DHCP报文。 DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如P C,网络打印机等 ●信任端口:连接合法D H C P服务器的端口或者连接汇聚交换机的上行端口通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP 请求,丢弃来自用户端口的所有其它DHCP报文. 对接入交换机进行了如下配置: Switch(config)#ip dhcp snooping //打开DHCP Snooping功能 Switch(config)#ip dhcp snooping vlan 10 //设置DHCP Snooping功能将作用于哪些VLAN 做了以上配置以后,打开了交换机得dhcp snooping 功能,则所有接口默认状态下,变成了untrust端口,即非信任接口,只能够通过dhcp的请求报文,但是不能通过dhcp的其他报文,例如dhcp的offer报文。这样就能够在图中的G0/3口拒绝了来自soho路由器的DHCP的offer报文。 因为进行了以上的配置以后,所有的接口默认都会把dhcp的offer的报文拒绝掉,包括和核心交换机连接的G0/24口,还需要进行以下配置 Config t Int G0/24 IP dhcp snooping trust 将该接口设置为信任接口,开始正常接收dhcp的报文,此时电脑可以正确的获取到ip地址,正常上网了。
如何设置DHCP-才能让局域网运行更稳定
如何设置DHCP-才能让局域网运行更稳定
在计算机数量较多的局域网工作环境中,网络管理员常常会利用DHCP服务,来动态为局域网中的每一台计算机分配IP地址、默认网关地址、子网掩码地址以及DNS服务器地址等。不过,在充分享受DHCP服务带给我们便利的同时,局域网中的部分计算机也会遭遇由该服务引起的不适,例如普通计算机经常出现无法申请IP地址或IP地址发生重复这样的故障现象,这些故障现象一旦出现后,普通上网用户往往无法在客户端自行解决,而需要等待网络管理员亲自解决,这显然会影响局域网的运行效率;此外,类似上述类型的网络故障要是频繁出现的话,也会影响局域网网络的运行稳定性。为了提高局域网网络的运行稳定性,我们需要全力以赴地“安抚”DHCP服务,确保局域网中由DHCP服务引起的网络故障降低到最小限度! 一、使用保留地址,解决IP地址重复故障 昨天早晨,笔者还在上班的路上,单位财务部门的小薛就打电话向笔者“求援”,他们处室的一台保存财务信息的服务器无法正常访问。同事小薛在检查这台存储财务信息的专用服务器时,发现系统频繁出现类似IP地址重复这样的故障提示。打开这台服务器的TCP/IP属性设置窗口时,发现该服务器没有使用静态的固定IP地址,而是选用了自动获取IP地址的模式,也就是说通过局域网中的DHCP服务器来获得动态的IP地址。据同事小薛称,这台财务专用服务器频繁会弹出类似于上面的故障提示,请求笔者帮助解决这样的网络“顽症”。 根据上面的故障现象,笔者估计问题多半出在DHCP服务上,很可能是财务专用服务器没有从局域网DHCP服务器中分配到有效的IP地址;于是笔者立即登录到DHCP服务器所在的主机系统,依次单击“开始”/“设置”/“控制面板”命令,之后在系统控制面板窗口中依次双击“管理工具”、“DHCP”图标,打开DHCP服务控制台窗口,然后用鼠标右键单击目标DHCP服务器选项,从弹出的快捷菜单中执行“属性”命令,进入目标DHCP服务器的属性设置窗口,在该设置窗口中笔者发现财务专用服务器确实没有属于自己的专用IP地址。 于是,笔者立即在DHCP服务器的目标作用域下,用鼠标右键单击“保留”选项,从弹出的右键菜单中执行“新建保留”命令,打开如下图所示的设置对话框。
华为DHCP服务项目实例
一、技术概述 随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况。动态主机配置协议DHCP(Dynamic Host Configuration Protocol)就是为满足这些需求而发展起来的。 DHCP协议以服务器/客户端(Server/Client)模式工作,DHCP客户端向DHCP服务器动态地请求配置信息,DHCP服务器可以很方便地为客户端动态发送配置信息。 早期的DHCP协议只适用于DHCP客户端和服务器处于同一个子网内的情况,不可以跨网段工作,这样就需要为每一个子网配置一个DHCP服务器,浪费资源。DHCP中继的引入解决了这一问题。 本案例重点练习DHCP服务的相关技术需求 二、网络拓扑: 三、相关知识点总结: 1. DHCP协议的基本原理?
DHCP的全名是“Dynamic Host Configuration Protocol”,即动态主机配置协议。在使用DHCP的网络里,用户的计算机可以从DHCP服务器那里获得上网的参数,几乎不需要做任何手工的配置就可以上网。 一般情况下,DHCP服务器会尽量保持每台计算机使用同一个IP地址上网。如果计算机长时间没有上网或配置为使用静态地址上网,DHCP服务器就会把这个地址分配给其他计算机。 2. DHCP 的基本流程和相应报文? Discover:由client到sever的请求能否提供租约,即由客户端广播来查找可用的服务器。Offer:由server给client提供租约,即服务器用来响应客户端的DHCP DISCOVER报文,并指定相应的配置参数。 Request:有client到sever的请求租约,即由客户端发送给服务器来请求配置参数或者请求配置确认或者续借租期。 Ack:确认IP租约,即由服务器到客户端,含有配置参数包括IP地址。 3. DHCP Snooping的作用是什么?有哪些应用? DHCP Snooping 是一种DHCP 安全特性,通过截获DHCP Client 和DHCP Relay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP 报文并建立和维护一个DHCP Snooping 绑定表。绑定表包括MAC地址、IP地址、租约时间、VLAN ID、接口信息。 DHCP Snooping通过对这个绑定表的维护,建立一道在DHCP Client和DHCP Server之间的防火墙。 DHCP Snooping可以解决设备应用DHCP时遇到的DHCP DoS(Denial of Service)攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题。 4. DHCP中继的工作原理是什么? dhcp的报文是广播形式的,而路由器或三层交换机是隔离广播的。通常情况下,dhcp 服务器和pc是在一个网段内的,就是连在路由器的同一个口上。如果client和sever之间需要跨越一台或多台设备,client和sever之间的广播被隔离,就需要借助dhcp中继实现dhcp的功能。Client<—---广播-----→relay←----单播---→server 四、项目需求: 1. 通过dhcp中继的形式为两个vlan中的主机分配地址。 SW2:
WIFI连接DHCP无法获取地址或获取地址慢分析
WIFI连接DHCP无法获取地址或获取地址慢 摘要:WIFI上网时,有时会出现无线用户接入后获取地址慢,而且经常无线网卡提示连接受限的现象。该情况将直接影响到用户的使用感受。本文主要分析了该问题发生的主要原因以及解决方案。 关键词:WIFI 连接受限 DHCP获取地址慢 作者简介:安洵无锡电信无线中心 正文: 在无锡市区的一些热点区域,经常会有用户反映出现无线接入后获取地址慢,而且有时会出现无线网卡提示受限连接的现象。该情况将直接影响到用户的使用感受。 针对上面的现象,我们进行了现场的分析和定位,确定了最终的原因:该现象的最终原因不是WLAN接入造成,而是DHCP server所引起的。 DHCP Server进行了一定的保护,也就是当DHCP server成功分配出一个地址以后,对于再次来自于客户端设备的DHCP请求将不作处理,只有原来的表项老化以后,才可能继续重新为客户端设备分配地址。 由于无线的特殊性,网卡在信号不稳的时候会出现重新连接,或者最终用户在使用过程中可能直接拔插网卡的情况,这样相当于链路异常断开,最终导致DHCP server不知道用户已经下线。而当用户再
次申请地址的时候,DHCP server可能认为报文非法而不进行处理,最终出现了获取地址慢的现象。 通过有线进行测试也验证同样存在该问题。先使用有线网卡连接,保证成功获取地址,之后直接将网卡禁用后在使能,可以发现该网卡同样无法在短时间内获取地址。 下面是用户DHCP申请地址的流程 造成获取地址慢的原因:当DHCP server成功发送DHCP ACK报文之后,DHCP server将认为它已经成功为Client分配了一个IP地址,在没有接收到Release报文之前,或者自己的表项没有老化之前,再次收到来自于Client的报文,DHCP server将作为非法报文处理。获取地址慢的出现情况一: 如果客户端出现异常断开(也就是客户端虽然断开连接,但是没有发送DHCP Release报文),当该客户端再次连接的时候会出现无法获取地址,只有等待足够的一段时间后,才可以获取地址的问题。
截断非法dhcp+server源头
截断非法DHCP Server源头 引言: 上期杂志中作者碰到了在内网中私接DHCP 服务器的情况,又是抓包又是查看交换机MAC地址表,着实是费了一番周折才将问题解决。在企业交换网络中这种现象较为普遍,特别是那些soho路由器自带的DHCP Server功能经常造成主机无法从合法的dhcpserver处获得ip地址。其实利用多数可网管交换机所支持的dhcp-snoopning机制,在源头就能切断非法Dhcp server的接入。本文结合实际阐述原理、配置及调试过程。 一.DHCP协议简介: 动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途: 1.给内部网络或网络服务供应商自动分配IP地址给用户 2.2.给内部网络管理员作为对所有计算机作中央管理的手段。 DHCP服务属于C/S架构,由服务器与客户端组成。所有的 IP 网络设定数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 要求;而客户端则会使用从服务器分配下来的IP地址信息。 通常DHCP服务会经过几个步骤:寻找 Server;提供IP租用地址;接受 IP租约租约确认;主要流程图如图一所示。 图一
二.DHCP对交换网络的影响 由于DHCP客户在发现(请求)阶段所发送的报文为广播,对于二层交换机将在所有端口扩散,内网中所有的dhcp服务器都将收到请求并回应客户端,客户端很有可能从非法dhcp服务器获得非正常ip地址、掩码及其他信息造成无法接入网络。同时,这种伪造的DHCP 服务器也会带来类似中间人攻击的安全问题,客户端获得的默认网关为非法DHCP服务器的地址,所有客户端与外部通信的数据包都将经过非法的dhcp服务器。 三.通过dhcp-snooping机制阻止非法DHCP Server 1.DHCP Snooping简介 网络管理员需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系。DHCP Snooping通过以下两种方法来获得用户从DHCP服务器获取的IP地址和用户MAC地址信息:监听DHCP-REQUEST报文(即客户端请求),监听DHCP-ACK报文(即服务器响应)另外,在网络中如果有私自架设的DHCP服务器,将可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口与不信任端口。 信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址。不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃,从而防止了DHCP客户端获得错误的IP地址。 2.DHCP Snooping配置实例: (1).简要说明: 本例拓扑如图二所示,在dhcp-server上建立一个192.168.10.0/24的地址池,soho路由器的默认dhcp地址池为192.168.1.0/24,将h3cS3600交换机与dhcp server 连接的接口设置为 trust(信任)接口,其它接口为默认untrust端口,在h3cS3100交换机与sohu路由器连接的端口开启dhcp server 防护,行为配置为shutdown(关闭接口)。连接在不同交换机的client尝试获得ip地址。 图二