如何忽略恶意 DHCP 分配?

如何忽略恶意 DHCP 分配?

我有一个盒子,通过单个以太网接口连接到较大的本地 IPv4 网络(根本没有 IPv6);通常,它被分配一个172.16.0.0范围内的 IP 地址。

但是,有时,有人会错误地插入 DHCP 服务器,然后我会从该192.168.0.0范围内获得一个地址(以及一组虚假的路由)。有没有办法告诉dhcpcd(或 Linux 的另一个 DHCP 客户端)只接受来自特定 IP 范围的提议?或者也许有一种方法可以在 iptables 级别过滤 DHCPOFFER,从而丢弃虚假提议?

DHCPCD手册页列表blacklistwhitelist选项,但这些似乎适用于服务器的IP 地址,在正确/预期范围内。

我只控制这个盒子(以及几个起到类似作用的其他盒子);网络管理超出了我的控制范围。

答案1

我建议将网络配置为仅允许配置的服务器运行 DHCP,而不是尝试将 DHCP 客户端配置为仅使用特定的 DHCP 服务器(DHCP 的意义在于动态,对使用哪些服务器进行硬编码会否定这一点),这样可以防止“恶意”DHCP 服务器运行。

答案2

当且仅当DHCP 服务器的 IP 地址稳定,并且您只希望在单个网络中使用客户端,则可以whitelist使用/etc/dhcpcd.conf

whitelist 172.16.3.14

如果您知道恶意服务器来自明确定义的 IP 范围,则更宽松的可能性是选择blacklist

blacklist 192.168.0.0/16

如果使用白名单,则忽略黑名单。

请注意,DHCP 地址分配默认是一种非常值得信赖的协议:它们都不是万无一失的,也不能为您提供太多保护:它们只是防止无意配置错误的简单门挡。

相关内容