如何防止网络上的重复 DHCP 服务器造成干扰?这可能吗?
我并不是在问实际发生的情况,只是好奇而已。我的公寓大楼里有网络和互联网,有人因为插入了启用了 DHCP 服务器的无线路由器而导致整个网络出现问题。
您如何防止网络上出现此类冲突/问题,或者说,如果没有防火墙和控制网络上的机器,这是不可能的?
答案1
任何网络安全都是不可能的,除非严格控制网络访问。如果您允许人们插入一块随机硬件,而该硬件恰好运行着 DHCP 服务器,并且该服务器认为它应该分发地址,那么您就会遇到冲突。
我能想到的最好的解决方案是,在您的环境中没有其他变化的情况下,确定恶意 DHCP 服务器正在哪个网络端口上运行并将其关闭。对于罕见/偶然的问题,您可以手动执行此操作,但也有入侵防御系统可以通过识别 DHCP 回复是从未经授权的 MAC 地址发送的,确定哪个交换机端口与该 MAC 相关联并禁用该端口来做到这一点(思科有可以做到这一点的软件,您也可以配置 Sort 来完成这项工作)。
更好的解决方案可能是对网络进行分段,以便每个公寓/用户都获得一个 vLAN。这可以避免一个恶意设备影响整个建筑群。
答案2
通过在支持该功能的托管交换机上启用“DHCP 侦听”。
答案3
当您的计算机需要 DHCP 支持时,它会在本地网络上广播 DHCP 请求消息。如果网络段上有多个 DHCP 服务器,则第一个响应的 DHCP 服务器将是向您的计算机提供必要信息的 DHCP 服务器。
答案4
还有另一个可能的选择,那就是仅拒绝来自所有物理端口的入站 DHCP 响应,除了连接到有效服务器的端口 - UDP 目标端口 68(很确定,67/68 是 bootps/bootpc)。
这样,您不会阻止客户端请求地址,但会阻止任何未连接到您允许的端口的设备响应。您只希望在网络边缘、直接访问端口等处这样做。