保護DHCP，杜絕IP攻擊

部署DHCP服務器 href="http://server.it168.com/" target=_blank>服務器為客戶端提供網(wǎng)絡服務， 這大大方便了網(wǎng)絡管理。 客戶端連入網(wǎng)絡后會發(fā)送DHCP請求包， DHCP服務器會應答并提供IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)， DNS等信息。 但是， 而當網(wǎng)絡中出現(xiàn)另外一臺非法的DHCP服務器將會怎樣呢?顯而易見， 這必然造成網(wǎng)絡的混亂， IP攻擊也就會觸發(fā)。 “內(nèi)鬼”難防， 如何防呢?

　　1、客戶端不斷請求

　　既然廣播包會發(fā)向網(wǎng)絡中的所有設備， 合法還是非授權(quán)服務器先應答是沒有任何規(guī)律的， 那么我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題， 直到客戶機可以得到真實的地址為止。

　　客戶端在命令行中先敲入命令“ipconfig /release”釋放非授權(quán)網(wǎng)絡數(shù)據(jù)， 然后輸入命令“ipconfig /renew”嘗試獲得網(wǎng)絡參數(shù)。 如果還是獲得錯誤信息則再次嘗試上面兩條命令， 直到得到正確信息。 不過這種方法治標不治本， 反復嘗試的次數(shù)沒有保證， 一般都需要十幾次甚至是幾十次， 另外當DHCP租約到期后客戶端需要再次尋找DHCP服務器獲得信息， 故障仍然會出現(xiàn)。

　　2、通過DC對DHCP授權(quán)

　　一般我們使用的操作系統(tǒng)都是Windows， 微軟為我們提供了一個官方解決辦法。 在windows系統(tǒng)組建的網(wǎng)絡中， 如果非授權(quán)DHCP服務器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對非授權(quán)DHCP服務器進行過濾。 將合法的DHCP服務器添加到活動目錄(Active Directory)中， 通過這種認證方式就可以有效的制止非授權(quán)DHCP服務器了。

　　原理就是沒有加入域中的DHCP Server在相應請求前， 會向網(wǎng)絡中的其他DHCP Server發(fā)送DHCP INFORM查詢包,如果其他DHCP Server有響應， 那么這個DHCP Server就不能對客戶的要求作相應， 也就是說網(wǎng)絡中加入域的DHCP服務器的優(yōu)先級比沒有加入域的DHCP服務器要高。 這樣當合法DHCP存在時非授權(quán)的就不起任何作用了。

　　授權(quán)合法DHCP的過程如下：“開始→程序→管理工具→DHCP”， 選擇DHCP, 用鼠標右鍵單擊選擇“添加服務器”， 然后瀏覽選擇需要認證的服務器。 點“添加”按鈕, 輸入要認證的DHCP服務器IP地址, 完成授權(quán)操作。

　　這種方法效果雖然不錯， 但需要域的支持。 要知道對于眾多中小企業(yè)來說“域”對他們是大材小用， 基本上使用工作組就足以應對日常的工作了。 所以這個方法是微軟推薦的， 效果也不錯， 但不太適合實際情況。 另外該方法只適用于非授權(quán)DHCP服務器是windows系統(tǒng)， 對非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會有一定的問題。