緣由：前段時間，朋友單位的局域網(wǎng)出現(xiàn)了一點問題要我?guī)兔纯?。?jù)朋友說，最近單位部分科室的計算機頻繁出現(xiàn)不能上網(wǎng)的現(xiàn)象。詢問朋友得知這些計算機都是開啟了DHCP服務(wù)，自動獲得IP，經(jīng)過排查發(fā)現(xiàn)他們的網(wǎng)關(guān)地址都出現(xiàn)了問題。正確的地址應(yīng)該是192.168.4.254，而這些故障計算機得到的網(wǎng)關(guān)地址卻是192.168.4.65。部分計算機使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，用ipconfig /renew可以獲得真實的網(wǎng)關(guān)地址，而大部分獲得的仍然是錯誤的數(shù)據(jù)。

為什么真正的DHCP服務(wù)器分配的網(wǎng)絡(luò)參數(shù)無法正確傳輸?shù)娇蛻魴C上呢?原因很簡單，網(wǎng)絡(luò)中存在了另一個DHCP服務(wù)器，這個DHCP服務(wù)器將非授權(quán)網(wǎng)絡(luò)信息分配給設(shè)置為自動獲得IP地址的客戶機。真是“內(nèi)鬼”難防呀!下面就結(jié)合我的一些經(jīng)驗談?wù)勗诰钟蚓W(wǎng)內(nèi)如何有效地防范非授權(quán)DCHP服務(wù)器。

一、預(yù)備知識：

一般公司內(nèi)部都會有一個DHCP服務(wù)器來給員工計算機提供必要的網(wǎng)絡(luò)參數(shù)信息的，例如IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，DNS等地址，很多情況路由器就可以擔(dān)當此重任。每次員工計算機啟動后都會向網(wǎng)絡(luò)中發(fā)送廣播包尋找DHCP服務(wù)器(前提是該計算機被設(shè)置為自動獲得IP地址)，廣播包隨機發(fā)送到網(wǎng)絡(luò)中，當有一臺DHCP服務(wù)器收到這個廣播包后就會向該包源MAC地址的計算機發(fā)送一個應(yīng)答信息，同時從自己的地址池中抽取一個IP地址分配給該計算機。

合法DHCP服務(wù)器可以提供正確的數(shù)據(jù)，非授權(quán)DHCP服務(wù)器則提供的是錯誤的數(shù)據(jù)。我們?nèi)绾巫寙T工機器都通過合法DHCP服務(wù)器獲得網(wǎng)絡(luò)信息呢?如果是交換式網(wǎng)絡(luò)則沒有可能，因為廣播包會發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非授權(quán)服務(wù)器先應(yīng)答是沒有任何規(guī)律的。這樣網(wǎng)絡(luò)就被徹底擾亂了，原本可以正常上網(wǎng)的機器再也不能連接到INTERNET。

二、防范策略：

1、消極防范：

既然廣播包會發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非授權(quán)服務(wù)器先應(yīng)答是沒有任何規(guī)律的，那么我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題，直到客戶機可以得到真實的地址為止。

先敲入如下命令：

ipconfig /release (該命令釋放非授權(quán)網(wǎng)絡(luò)數(shù)據(jù))

然后敲入如下命令：

ipconfig /renew (嘗試獲得網(wǎng)絡(luò)參數(shù))

如果還是獲得錯誤信息則再次嘗試上面兩條命令，直到得到正確信息。不過這種方法治標不治本，反復(fù)嘗試的次數(shù)沒有保證，一般都需要十幾次甚至是幾十次，另外當DHCP租約到期后員工機需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會出現(xiàn)。

2、官方提供的辦法：

一般我們使用的操作系統(tǒng)都是Windows，微軟為我們提供了一個官方解決辦法。在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非授權(quán)DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對非授權(quán)DHCP服務(wù)器進行過濾。將合法的DHCP服務(wù)器添加到活動目錄(Active Directory)中，通過這種認證方式就可以有效的制止非授權(quán)DHCP服務(wù)器了。

原理就是沒有加入域中的DHCP Server在相應(yīng)請求前，會向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCP INFORM查詢包,如果其他DHCP Server有響應(yīng)，那么這個DHCP Server就不能對客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當合法DHCP存在時非授權(quán)的就不起任何作用了。

授權(quán)合法DHCP的過程如下：

第一步：開始->程序->管理工具->DHCP

第二步：選擇DHCP root, 用鼠標右鍵單擊，然后瀏覽選擇需要認證的服務(wù)器。

第三步：點“添加”按鈕, 輸入要認證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。

這種方法效果雖然不錯，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應(yīng)對日常的工作了。所以這個方法是微軟推薦的，效果也不錯，但不太適合實際情況。另外該方法只適用于非授權(quán)DHCP服務(wù)器是windows系統(tǒng)，對非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會有一定的問題。