探讨DHCP环境下防范非法DHCP服务器的措施

探讨DHCP环境下防范非法DHCP服务器的措施

作者：徐坚

来源：《电脑知识与技术》2011年第09期

摘要：在使用DHCP服务的网络中，非法DHCP服务器的存在将干扰合法DHCP服务器的正常工作，从而影响网络的正常运行。该文给出了DHCP服务的工作过程，分析了非法DHCP服务器可能带来的危害，并提出了一些如何防范非法DHCP 服务器的措施。 关键词：DHCP服务器；防范措施；非法DHCP服务器

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)09-2006-02 Some Precaution Measures Against Illegal DHCP Servers in DHCP Network XU Jian

(School of Computer Science and Engineering, Qujing Normal University, Qujing 655011, China) Abstract: In a network providing DHCP service, illegal DHCP servers will interfere with the legal DHCP servers and affect the normal work of network. This paper presents the working process of DHCP service and analyzes the harm caused by illegal DHCP servers. To avoid the harm, the author proposes some precautionary measures on how to disable illegal DHCP servers from DHCP Service.

Key words: DHDP server; precautionary measures; Illegal DHCP Servers

在使用TCP/IP协议的网络中，每一台主机都必须有一个IP地址，并通过此IP地址与网络上的其他计算机通信。IP地址的分配方法有两种：一种是通过手工方法静态分配IP地址，另一种是通过DHCP服务器动态分配IP地址。[1]

动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一种有效的IP地址分配手段，现已经被广泛地应用在各种局域网管理。它能动态地向网络中每台计算机分配唯一的IP地址，并提供安全、可靠、简单和统一的TCP/IP网络配置，确保不发生IP地址冲突。搭建DHCP服务器有两种方式：一是在所属子网中把一台安装有网络操作系统的工作站配置成一个虚拟的路由器，以便连接局域网中的不同子网，采用这种方式的缺点是每个子网都要求配置至少一台虚拟路由器，增加了网络建设的成本。二是采用交换机自带的DHCP功能，为其下的计算机用户自动分配IP地址，使用交换机做DHCP 服务器的好处在有三个：一是节省资金，不需要采用额外的虚拟路由器；二是免受病毒侵害；三是由于交换机运行稳定，可提供稳定的DHCP服务器。

龙源期刊网 http://www.qikan.com.cn

要发挥好DHCP服务的功能，必须做好对网络中非法DHCP服务器的防范工作。在实际的DHCP应用中，不管采用哪种方式搭建DHCP服务器，都会面临非法DHCP服务器对网络中动态分配IP地址的干扰，使原本可以正常上网的机器再也不能上网。据分析，非法DHCP 服务器可能带来的危害有以下一些：有意干扰网络的正常使用；故意捕获网络用户数据报文；有人学习配置DHCP服务器时无意中建立的DHCP服务器[2]。为此，本文主要探讨在DHCP环境下，如何有效在防范非法DHCP服务器，使网络中DHCP功能可以正常、稳定地运行。 1 DHCP服务工作过程 DHCP的工作过程如下：

1) 发现阶段：即DHCP客户端寻找DHCP服务器。客户端以广播方式发送DHCP DISCOVER消息，即向地址255.255.255.255发送特定的广播消息，网络上所有安装TCP/IP的主机都会收到，但只有DHCP服务器响应。

2) 提供阶段：收到DHCP DISCOVER消息的DHCP服务器向该客户发送一个包含出租的IP和其他设置的DHCP OFFER消息。

3) 选择阶段：DHCP客户端只接受第一个收到的DHCP OFFER提供信息，然后就以广播方式回答一个DHCP REQUEST请求信息，以通知所有的DHCP服务器，它将选择某台DHCP服务器所提供的IP地址。

4) 确认阶段：当DHCP服务器收到DHCP客户端回答的DHCP REQUEST请求信息之后，它便向DHCP客户端发送一个包含它所提供的IP地址和其它设置的DHCP ACK确认信息。DHCP客户端便将其TCP/IP协议与网卡绑定，另外，除DHCP客户端选中的服务器外，其它的DHCP服务器都将收回曾经提供的IP地址。

5) 重新登录：当DHCP客户端重新登录网络时，就不需要再发送DHCP DISCOVER发现信息了，而是直接发送包含前一次所分配的IP地址的DHCP REQUEST请求信息。 2 如何防范非法DHCP服务器

通过分析DHCP的工作过程及非法DHCP服务器可能产生的危害，防范非法DHCP服务主要有以下四种方法。

2.1 设置接入交换机的访问控制列表使非法DHCP服务器失效

RFC（Request For Comments）定义DHCP服务器的端口号67 是DHCP 服务器的端口， 端口号68 是客户端的端口。这样，管理员可以通过设置访问控制列表来使非法DHCP服务器失效，即检测所有从67 端口流入68 端口的UDP广播包，拒绝所有所有源端口为67, 目标端口为68 的UDP广播包通过。

龙源期刊网 http://www.qikan.com.cn

2.2 通过域控制器授权来过滤非法DHCP服务器

目前，客户机操作系统90%以上都是微软的视窗操作系统，微软公司在防范非法DHCP服务器方面也提供一个有效的方法。在使用Windows系统的计算机网络中，DHCP服务器安装好后并不能提供服务，必须经过一个授权过程。如果部署了活动目录，那么所有作为DHCP服务器运行的计算机必须是域控制器或域成员服务器，才能获得授权并为客户端提供DHCP服务。如果未经授权的DHCP服务器检测到同一子网中有已经授权的服务器，它将自动停止向DHCP客户端提供可租用的IP地址。

2.3 通过ARP命令找到并屏蔽非法DHCP服务器

DHCP服务器也充当着网关的作用，如果获得了非法网关地址，也就是知道了非法DHCP服务器的IP地址。在获取了非法IP 地址的计算机上，通过ARP- a 命令查找到非法DHCP 服务器的MAC 地址， 在上层可网管交换机中查找出该MAC 地址是从可网管交换机的哪一个端口上行的， 找到该端口下的交换机， 然后在该交换机上通过逐条拔出网线的方式， 查找出非法DHCP 所在位置。

2.4 通过DHCP Snooping技术防范非法DHCP服务器

DHCP Snooping技术是DHCP的安全特性，通过建立和维护DHCP Snooping绑定表过滤不信任区域的信息，从而保证网络安全。当交换机开启了DHCP Snooping功能后，将侦听DHCP报文，从中提取并记录IP地址和MAC地址信息。另外，DHCP Snooping允许将某个物理端口设置为信息商品或不信任端口。信任端口可正常接收并转发DHCP Offer报文，而不信任端口会丢弃接收到的DHCP Offer报文。这样，可以完成交换机对非法DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。[3] 3 结束语

在使用DHCP方式动态分配IP地址的网络中，一定要考虑对非法DHCP服务器的防范。本文探讨了在DHCP环境下，提出一些有效措施来防范非法DHCP服务器，从而保证网络中的DHCP服务能健康稳定地工作。 参考文献：

[1] 张浩军.计算机网络操作系统Windows Serer 2003管理与配置[M].北京:中国水利水电出版社,2006:148-155.

[2] 孙中廷,赵玉艳.非法DHCP 带来的灾害及其防范措施[J].网络安全,2009(9):30. [3] 百度百科.DHCP Snooping [EB/OL].http://baike.baidu.com/view/1803110.htm,2010-3-3.

龙源期刊网 http://www.qikan.com.cn