區域網中非法搭建DHCP服務故障探討

2020-12-20 51CTO

熟悉網絡管理的朋友對DHCP服務並不陌生,它給我們的網絡管理帶來極大的方便,只要在DHCP服務端配置好,可以讓終端用戶快速方便上網,無須作任何參數設置。

但如果配置不當,架設不正確,它會讓我們的網絡不通,而且查找起來很麻煩了。下面以本人工作所遇到故障為例,相信也是大多網管經常碰到的,從故障現象、故障原因、故障排除幾方面加以分析。

一、故障現象:

網絡用戶反映:網絡連接正常,而且還可以訪問到部分辦公室計算機了,但就是上不了網。

我們查看了一下故障,發現故障現象也很明顯,即上不去網的用戶獲得了一個以192.168.1打頭的IP位址,網關為192.168.1.1(我們單位的路由器IP是的192.168.0.1),這明顯是通過一臺非法搭建的路由器獲得的IP位址,隨後我們在該用戶計算機的瀏覽器上登錄192.168.1.1這個地址,即打開了一臺寬帶路由器的管理界面,好在這臺路由器的用戶名/密碼是默認的admin/admin,我們登陸進去,將該路由器的DHCP功能關閉,進行完以上操作後整個辦公室的網絡又穩定了一段時間,但是前幾天又有用戶反映說是上不去網了,我們查了一下,故障現象跟上次的一樣,但是由於這次路由器被更改了登陸密碼,所以我們不能通過關閉該路由器的DHCP功能來解決問題了,這次到了徹底解決問題的時候了,一定要在區域網中揪出這臺私自為用戶分配IP位址的寬帶路由器,才有可能保證區域網的安全穩定運行。

二、故障原因分析:

如下圖所示:

一般來講,網絡用戶通過網絡設備(交換機或其它)連接到路由器A,並通過DHCP服務獲取上網的相關參數.即可上網.但隨著網絡用戶的增多,尤其是筆記本用戶,無了實現無線上網,在很多辦公室都架設一個無線路由共享上網。這樣就導致網絡中其它的用戶也就可能從這個無線路由獲取IP了。這裡有兩種情況

1、無線路由器默認的DHCP服務是打開的,而且網關是192.168.1.1。一般用戶只設置了無線網絡參數,這樣網絡用戶就從它獲取了IP,導致在小範圍的區域網是通的,但與外網不通了,不能上網。

2、情況跟上面一樣了,但稍稍有點網絡知識的人就知道分別設置一下LAN埠和WAN埠網絡參數,這樣導致同樣IP是192.168.1打頭的用戶確可以上網了。即便這樣,從技術上完全可以的,但從網絡管理上來講是不科學的,因為它沒有必要架設一個路由,增加網絡運行負擔了。

三、故障排除

1、加強網絡配置管理規範化。

(1)、作為一個合格的網絡管理員,技術固然是重要的。但規範的管理可以減少很多不必要的麻煩。那就是凡是私自增加網絡設備的用戶要經網管同意,在他技術指導下完成網絡設備的設置。

(2)、使用固定的IP位址

這種方案可以徹底解決非法DHCP服務的危害,因為網絡用戶都是固定的IP,不會自動獲取IP了。缺點是很多筆記本用戶由於上網環境不同,要經常更改參數了。

少數網絡用戶很難記住為自己計算機分配IP位址,而且如果出現IP位址衝突之類的故障,又增加了排查衝突IP故障難度。

不過這個方案只要管理得當,每位網絡用戶認真遵守自己固定的IP,應該是一種不錯的辦法。而且不怕任何網絡用戶自己私自接寬帶路由器。

(3)、通過PPPOE的形式上網

這種形式有很多的好處,由於區域網用戶上網時不是通過DHCP的方式(當然也不用設置靜態IP位址),而是通過PPPOE撥號獲得一個IP位址,這樣就不會受到非法的DHCP伺服器的幹擾了。

其實PPPOE伺服器的好處不僅如此,一來架設一臺PPPOE伺服器不是一件容易的事(不怕一般用戶無意惡意為之了),二來通過PPPOE的方式上網,區域網內也不會發生ARP地址欺騙攻擊的問題了。:

2、通過各種技術手段排除故障

(1)、臨時性排除

通過命令釋放再獲取IP參數

ipconfig /release 和 ipconfig /renew

我們可以通過多次嘗試廣播包的發送來臨時解決這個問題,直到客戶機可以得到真實的地址為止。即先使用ipconfig /release釋放非法網絡數據,然後使用ipconfig /renew嘗試獲得網絡參數,如果還是獲得錯誤信息則再次嘗試/release與/renew直到得到正確信息。

提醒:這種方法治標不治本,反覆嘗試的次數沒有保證,另外當DHCP租約到期後客戶端計算機需要再次尋找DHCP伺服器獲得信息,故障仍然會出現。

設一個固定的IP

先給網絡用戶設一個固定的IP及網關、子網掩碼、DNS,可能確保暫時上網了。

(2)、「揪」出非法的DHCP服務

1、DHCP伺服器也充當著網關的作用,如果獲得了非法網關地址,也就是知道了非法DHCP伺服器的IP位址。通過ping (非法的DHCP服務)IP,通過arp -A查出MAC地址。知道了MAC地址,就可以在路由器中屏蔽這個MAC,或者是屏蔽該MAC的68埠。

2、如果是設置了無線路由的路由功能,那麼通過以上方法查找的只能是無線路由器的LAN的MAC,而在中心路由器A中所能控制的只能是它的WAN埠了。這裡提供一個小技巧:一般來講,無線路由器的LAN埠MAC和WAN埠MAC是連著的,即最後二位數是連著的。如下圖所示:

其實我們在方法1得到的MAC是LAN的,但要在中心路由器A要封掉的MAC應該是WAN MAC了。這樣只要在中心路由器A的ARP緩存表找到與LAN MAC最接近的MAC即是了。

三、從技術上限制非法DHCP的產生

1、通過「域」的方式對非法DHCP伺服器進行過濾

將合法的DHCP伺服器添加到活動目錄(Active Directory)中,通過這種認證方式就可以有效的制止非法DHCP伺服器了。原理就是沒有加入域中的DHCP Server在相應請求前,會向網絡中的其他DHCP Server發送DHCPINFORM查詢包, 如果其他DHCP Server有響應,那麼這個DHCP Server就不能對客戶的要求作相應,也就是說網絡中加入域的DHCP伺服器的優先級比沒有加入域的DHCP伺服器要高。這樣當合法DHCP存在時非法的就不起任何作用了。

提醒:這種方法效果雖然不錯,但需要域的支持。要知道對於眾多中小企業來說「域」對他們是大材小用,基本上使用工作組就足以應對日常的工作了。所以這個方法,效果也不錯,但不太適合實際情況。

2、在路由交換設備上封埠

DHCP服務主要使用的是UDP的67和68埠,DHCP伺服器端應答數據包使用68埠,67埠為客戶機發送請求時使用。所以我們可以在路由器上保留伺服器的68埠,封閉客戶機的68埠,就能達到過濾非法DHCP伺服器的目的。

提醒:如果計算機很多的話,操作起來不方便,而且會增加路由器的負擔,影響到網絡速度。

凡是提供DHCP服務的伺服器都必須設置固定IP位址,想在動態獲得IP信息的計算機上啟用DHCP服務是不可以的。而且雖然微軟公司在限制DHCP服務上做了規定,例如同一個網絡中不容許兩臺DHCP存在。

但是目前有很多第三方軟體可以建立DHCP伺服器,甚至是寬帶路由器也將DHCP功能集成於自身配置中,因此在這種情況下就無法清楚的查詢出網絡中到底存在幾個DHCP伺服器了,我們只能將懷疑對象一一關閉或者在交換機及路由器上將懷疑對象進行訪問控制列表過濾。總之網絡中存在非法DHCP伺服器引起的網絡故障是非常難解決的,需要反覆調查循序漸進。

反思:為什麼不能讓網絡用戶的設備只能從指定的DHCP伺服器獲取地址?

這個功能我想是大多數網絡管理員都非常嚮往的,在一次次追查那臺「非法」的寬帶路由器未果的時候,我們就在想,如果終端設備上能夠設置只通過指定的DHCP伺服器獲取IP位址的話,這樣終端設備就不會被那臺寬帶路由器所幹擾,我們也就不用找得這麼辛苦了。

【責任編輯:

藍雨淚

TEL:(010)68476606】

點讚 0

相關焦點

  • DHCP中繼故障處理的具體流程
    圖 DHCP中繼典型組網應用在此組網圖中:●客戶端(DHCP Client)和DHCP伺服器(DHCP Server)不在一個區域網內,客戶端通過DHCP中繼RouterA和DHCP伺服器相連。在系統視圖中使用display current-configuration命令查看是否使能DHCP功能。3.查看DHCP伺服器的配置●執行display dhcp server tree all命令查看是否有配置全局地址池及參與動態分配的IP位址範圍。
  • Centos7安裝及配置DHCP服務
    DHCP(Dynamic Host Configuration Protocol)動態主機配置協議,是一個區域網的網絡協議,C/S模式。自動分配地址,方便管理,不用一個一個給電腦分配ip地址,方便管理。
  • 妙用中繼代理 讓DHCP服務多個VLAN
    最簡單的方法,無非就是在每一個Vlan中單獨架設一臺DHCP伺服器,不過這樣操作的效率往往十分低下,而且也不利於網絡的統一管理與維護,因此這種方法的可操作性比較低。其實,在安裝、配置了三層交換機的區域網工作環境中,我們可以通過配置三層交換機的中繼代理參數,來實現讓同一臺DHCP伺服器服務多個Vlan的目的!
  • 怎樣停止、啟動DHCP服務
    怎樣停止、啟動DHCP服務 文章摘要:這裡我們主要分析了啟動DHCP服務和停止的相關操作以及命令。那麼通過這些內容,我們就對此有一個良好的掌握。
  • 區域網幾大棘手問題及解決方案
    作為一個合格的網絡管理員,相信各種區域網棘手的問題,大家都遇到過,每個人也都有一套自己的處理方法,歡迎大家一起討論,那些年你所「霍霍」的青春小插曲。  (3) 關閉服務,隱藏網絡圖標有匯聚交換機,沒有三層交換的中小型網絡  (1) 劃分VLAN,不同部門不同VLAN能有效的隔離IP衝突,減小影響範圍,故障定位範圍也縮小,有利於排查。
  • 網友解答:強制DHCP伺服器分配上網IP
    出現安全問題時可以在第一時間發現故障根源。然而在實際使用中總有人搗亂,妄圖通過手工設置IP位址的方法來上網。那麼有沒有辦法可以強制客戶端計算機必須使用DHCP自動獲得方式取得IP等地址才能夠順利上網呢?答案是肯定的,今天就請各位跟隨筆者一起領教網管支招強制採取DHCP上網。
  • 路由器配置DHCP伺服器實例解析
    路由器配置DHCP伺服器實例解析 動態主機設置協議(Dynamic Host Configuration Protocol, DHCP)是一個區域網的網絡協議,使用UDP協議工作,主要有兩個用途:給內部網絡或網絡服務供應商自動分配IP位址給用戶給內部網絡管理員作為對所有計算機作中央管理的手段
  • 兮克:Linux下如何設置DHCP伺服器
    一、DHCP簡介DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個區域網的網絡協議,使用UDP協議工作, 能使機器在啟動時自動獲取它的網絡配置,它允許管理員對所有計算機做中央管理,確保所有的機器有相似的環境。
  • DHCP設置不當引發網絡連接失敗故障
    原以為這樣的拓展工作很簡單,可是誰曾想到,將新買回來的終端按照正確設置,接入區域網環境中後,竟然出現了奇怪的故障現象,一部分終端能夠正常訪問區域網中的資源,可是另外一部分終端無論怎麼設置,都不能正常上網。後來經過反覆測試實踐,發現原來是DHCP設置不當,造成部分終端不能正常從DHCP伺服器那裡獲得有效的上網參數。現在,本文就將這則奇怪網絡故障的排查過程寫出來,以供各位網友們參考和指正。
  • 揪出區域網中私自為DHCP分配IP的元兇
    我們跟蹤了一下故障,發現故障現象也很明顯,即上不去網的用戶家裡微機獲得了一個以192.168.1打頭的IP位址,網關為192.168.1.1,這明顯是通過一臺寬帶路由器獲得的IP位址,隨後我們在該用戶微機的瀏覽器上登錄192.168.1.1這個地址,即打開了一臺寬帶路由器的管理界面,好在這臺路由器的用戶名/密碼是默認的admin/admin,我們登陸進去,將該路由器的DHCP功能關閉
  • 華為技術:配置 DHCP Snooping 防止 DHCP Server 仿冒者攻擊示例
    為了防止有用戶將非法的DHCP伺服器接入網絡,如自帶的無線小路由器等,導致正常用戶獲取到錯誤的地址而上不了網或者導致正常用戶獲取到衝突的地址,需要部署DHCP Snooping功能。一、主要知識點:DHCP Snooping 簡介 在一次DHCP客戶端動態獲取IP位址的過程中,DHCP Snooping會對客戶端和伺服器之間的DHCP報文進行分析和過濾。
  • 關於dhcp relay工作原理的解析
    關於dhcp relay工作原理的解析 下面我們來對dhcp relay工作原理進行一下解析。那麼通過文章的介紹,相信大家都能夠掌握這個原理內容。望對大家有所幫助。
  • 詳解DHCP Snooping的使用
    首先讓我們看看DHCP伺服器的客戶端和服務端的相關工作流程是什麼樣的。DHCP Client 發出 DHCP DISCOVER廣播報文給 DHCP Server,若 Client 在一定時間內沒有收到伺服器的響應,則重發 DHCP DISCOVER 報文。
  • 典型的小區區域網配置:DHCP、NAT、埠隔離
    用戶只需要將埠加入到隔離組中,就可以實現隔離組內埠之間二層數據的隔離。埠隔離功能為用戶提供了更安全、更靈活的組網方案。192.168.1.100/24AR1:192.168.1.254/24,1.1.1.1/24AR2:1.1.1.2/24四、AR1的主要配置文件:#dhcp
  • Linux應用 DHCP伺服器的安裝和故障排除
    在Red Hat Linux發行版本中,該文件位於/var/lib/dhcp/目錄中。如果通過RPM安裝ISC DHCP,那麼該目錄應該已經存在。但是這同樣意味著如果DHCP伺服器因為某種原因癱瘓,DHCP服務自然也就無法使用。客戶端也就無法獲得正確的IP位址,從而影響整個網絡的運行。為解決這個問題,配置兩臺以上的DHCP伺服器即可。如果其中的一臺DHCP伺服器故障,另外一臺DHCP伺服器就會自動承擔分配IP位址的任務。對於用戶來說,這個過程是透明的,他們並不知道DHCP伺服器的變化。
  • RHEL下DHCP服務的配置與應用
    安裝了DHCP服務軟體的伺服器稱為DHCP伺服器,而啟用了DHCP功能的客戶機稱為DHCP客戶端。DHCP伺服器是以地址租約的方式為DHCP客戶端提供服務的,它有以下兩種方式。 ②當進行IP位址的續租過程中出現以下兩種特例中的任意一種時,需要另外處理。 DHCP客戶端重新啟動時 IP位址的租期超過一半但續約失敗時 三、DHCP服務的安裝 RedHatEnterpriseLinux安裝程序默認沒有安裝DHCP服務,使用下面的命令可以檢查系統是否已經安裝了DHCP服務或查看已經安裝了何種版本。
  • 深論DHCP中繼的原理和配置
    那麼這裡我們就來重點探討一下DHCP中繼的原理和配置內容。讓我們一起來看一下下面具體的內容吧。DHCP中繼原理及配置應用場合:當一個網絡中的主機數目較大時,手工分配IP不僅麻煩而且容易出錯。DHCP服務的出現大大方便了主機IP位址的分配。現在的企業組網時,根據實際需要來劃分vlan,成了必不可少的一個步驟。
  • DHCP Snooping配置明細
    作用:1.DHCP Snooping的主要作用就是隔絕非法的dhcp server,通過配置非信任埠。2.建立和維護一張DHCP Snooping的綁定表,這張表一是通過dhcp ack包中的ip和mac地址生成的,二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IP Source Guard 基礎。這兩種類似的技術,是通過這張表來判定ip或者mac地址是否合法,來限制用戶連接到網絡的.
  • DHCP伺服器的安全設計
    我們都知道,IP位址是企業區域網主機進行相互通信的基礎。若主機沒有IP位址的話,則這臺主機是不能夠上網的。而DHCP伺服器則是掌管著管理企業區域網主機IP位址的重任,若其出現安全性漏洞的話,則對於企業整個區域網的打擊是致命的,會導致企業整個網絡的癱瘓。
  • LINUX-DHCP-GNS3- quagga實驗
    點擊播放 GIF 0.0M開始修改DHCP配置編輯dhcp主配置文件>vim   /etc/dhcp/dhcpd.conf按O開始編輯輸入以下內容wq保存請仔細檢查字母是否寫錯或者 ;為中文的 ;ddns-update-style none;ignore