支招:如何保护DHCP服务器免受非法攻击?
2024-09-01 13:44:24
供稿:网友
为了提高网络管理效率,在局域网组网规模相对较大的工作环境中,网络管理员往往会在单位局域网中架设、安装DHCP服务器,并通过该服务器来自动为普通工作站提供上网设置服务;当局域网中的普通工作站连接到单位网络后,它会自动向局域网网络发送上网参数请求数据包,DHCP服务器一旦接受到来自客户端系统的上网请求信息后,会自动为其提供合适的IP地址、网络掩码地址、网关地址以及DNS地址等参数,这样一来客户端系统就能正常访问网络了,很显然DHCP服务器的稳定性直接影响着整个局域网网络的工作性能。
不过,如果局域网网络中同时存在另外一台不合法的DHCP服务器时,整个局域网网络的运行稳定性将会受到破坏,普通工作站系统上网会出现混乱。为了让局域网网络运行始终稳定,我们需要想办法保护合法DHCP服务器的运行安全性,以避免其受到不合法DHCP服务器的“冲击”!
临时保护DHCP
大家知道,普通工作站系统是通过广播方式向局域网网络发送上网参数请求信息的,局域网中的所有网络设备都会收到来自普通工作站的上网请求,这自然也包括合法的DHCP服务器、不合法的DHCP服务器,不过究竟是合法的DHCP服务器还是不合法的DHCP服务器,优先应答普通工作站的上网请求,是没有什么规律的,因此当遇到普通工作站系统无法获得有效上网参数现象时,我们可以尝试通过反复发送广播信息的办法,来临时保证普通工作站与合法DHCP服务器建立连接,直到普通工作站能够从合法DHCP服务器那里得到有效的上网参数为止。
一旦看到自己的工作站不能正常上网时,我们可以打开故障工作站系统的DOS命令行工作窗口,并在DOS命令行提示符下执行“ipconfig /release”字符串命令,来将之前获得的不正确上网参数释放出来。
然后尝试执行“ipconfig /renew”字符串命令,来重新向局域网发送上网参数请求数据包,如果上述命令返回错误的结果信息,那么我们可以在本地系统运行对话框中继续执行“ipconfig /release”、“ipconfig /renew”字符串命令,直到普通工作站获得有效的上网参数信息为止。
当然,这种方法只能解决燃眉之急,而且反复尝试的次数也无法确定,通常都需要几次或十几次,并且当IP地址的租约期限到期后,普通工作站还需要再次向局域网DHCP服务器申请IP地址,到时候普通工作站无法上网的故障现象仍然会出现。
长期保护DHCP
通常情况下,局域网中的普通工作站安装使用的都是Windows操作系统,在Windows工作站系统为主的局域网工作环境中,我们可以通过域管理模式来保护合法DHCP服务器的运行安全性,同时过滤不合法的DHCP服务器,确保该DHCP服务器不会为局域网普通工作站分配错误的上网参数信息。我们只要在局域网域控制器中,将合法有效的DHCP服务器主机加入到局域网活动目录中,就能保证局域网中的所有普通工作站都会自动从合法有效的DHCP服务器那里,获得正确的上网参数信息了。这是因为域中的普通工作站向网络发送广播信息,申请上网参数地址时,位于同一个域中的合法有效的DHCP服务器,会自动优先响应普通工作站的上网请求,如果局域网指定域中的DHCP服务器不存在或失效时,那些没有加入指定域中的不合法DHCP服务器才有可能响应普通工作站的上网请求。
要将合法有效的DHCP服务器加入到局域网指定域中时,我们可以按照下面的设置步骤来操作:
首先以系统管理员权限登录进入局域网指定域控制器所在主机系统,打开该系统桌面上的“开始”菜单,从中依次点选“程序”/“管理工具”/“DHCP”选项,打开对应系统的DHCP服务器控制台窗口;其次在目标控制台窗口的左侧显示区域,用鼠标右键单击目标服务器主机,从弹出的快捷菜单中执行“添加服务器”命令,单击其中的“浏览”按钮,在其后出现的选择计算机对话框中,选中合法有效的DHCP服务器所在主机名称,也可以直接在“此服务器”文本框中输入DHCP服务器所在主机的IP地址,最后单击“确定”按钮 完成设置操作。如此一来,局域网指定域中的普通工作站日后上网访问时,就会自动优先从合法有效的DHCP服务器那里获得正确的上网参数信息了。
虽然这种方法的使用效果很好,但是对于局域网规模比较小的单位来说,几乎没有多大实际意义,因为小规模的局域网网络几乎都是工作组工作模式,这种工作模式下合法有效的DHCP服务器是无法得到安全保护的。