过滤非法DHCP服务器

最新推荐文章于 2024-02-02 10:25:32 发布
最新推荐文章于 2024-02-02 10:25:32 发布
阅读量2.3k 收藏 11
点赞数 2
分类专栏: H3C产品系列 文章标签: dhcp snooping ACl 非法DHCP过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zdl244/article/details/103448785
版权
本文介绍两种有效防止非法DHCP服务器的方法:一是启用DHCPSnooping并配置信任接口;二是通过ACL过滤UDP端口67的数据包。适用于核心及接入层交换机,确保网络中合法DHCP服务的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

过滤非法DHCP服务器

方法一:使用DHCP Snoonping。如果DHCP服务器在核心交换机上,则可以直接全局启动DHCP Snooping来拒绝所有接口的非法DHCP,但不会过滤本身的DHCP服务。
[H3C]dhcp snooping enable

1、如果信任的DHCP服务器在核心GE 1/0/1口,则配置信任接口即可
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]dhcp snooping trust
[H3C-GigabitEthernet1/0/1]quit

2、为了使得接入层从核心交换机获取地址,接入层的上联口也需要配置DHCP信任接口
[SW]dhcp snooping enable
[SW]interface GigabitEthernet 1/0/1
[SW-GigabitEthernet1/0/1]dhcp snooping trust
[SW-GigabitEthernet1/0/1]quit

3、你也可以指定特定vlan:
[SW-vlan1]dhcp snooping trust interface GigabitEthernet 1/0/1

方法二:使用ACL过滤匹配接口来过滤,比较麻烦。
首先抓包分析要过滤什么?
在这里插入图片描述
发现过滤非法DHCP的源端口是UDP:67即可。
1、配置:
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 5 deny udp source-port eq 67
[H3C-acl-ipv4-adv-3000]quit

[H3C]interface range GigabitEthernet 1/0/2 to GigabitEthernet 1/0/24    #GE 1/0/1口不过滤,信任
[H3C-if-range]packet-filter 3000 inbound    #服务器回offer报文,入方向
[H3C-if-range]quit

2、如有接入层,配置类似:
[SW]acl advanced 3000
[SW-acl-ipv4-adv-3000]rule 5 deny udp source-port eq 67
[SW-acl-ipv4-adv-3000]quit

[SW]interface range GigabitEthernet 1/0/2 to GigabitEthernet 1/0/24    #GE 1/0/1口不过滤,信任
[SW-if-range]packet-filter 3000 inbound    #服务器回offer报文,入方向
[SW-if-range]quit

--------------------------------------------------------------------------------------------------------------------------------------------

怎么屏蔽局域网内的其他dhcp server
weixin_33971977的博客
05-11 2756
DHCP SnoopingDHCP SnoopingDHCP监听将交换机端口划分为两类:信任端口(Trust):连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口;非信任端口(Untrusted):通常为连接终端设备的端口,如PC,网络打印机等。HCP Snooping的作用:1.DHCP Snooping的主要作用就是通过配置非信任端口,隔绝非法DHCP Serve...
wireshark筛选dhcp包_DHCP协议分析(Wireshark)
weixin_39616071的博客
12-19 1841
一、说明一是很多时候IP都是设置成通过dhcp动态获取的,但一直不太清楚dhcp的具体交互过程;二是加上前几天有同事问知不知道DHCP具体交互过程;三是这两天正好在分析协议。所以就顺道来看一下。二、DHCP协议2.1 通俗版解释【客户端小C(RELEASE):S1老哥,你给我的x.x.x.x这个IP我不用了哦。】客户端小C(DISCOVERY):谁给我个IP啊?服务器S1(OFFER):y.y.y...
华为交换使用技术防止非法DHCP服务器
城下深蓝的博客
04-03 1660
华为交换使用技术防止非法DHCP服务器
DHCP Filter MAC地址的导入
weixin_34121304的博客
04-02 667
从Windows 2008开始DHCP服务中有了一个新功能:DHCP Filter,可以设置允许或是拒绝某些MAC地址从DHCP获取IP地址。但在使用的过程大家是否发现,其中的MAC地址只能导出,却没有导入的地方?刚好这几天要用到此功能,现将方法介绍给大家! 2008\2008R2的PowerShell中也没有相应的命令提供,需要借助第三方工具实现,MACFilterImport,此工具可在...
有效防范网内非法DHCP服务器妙招儿
Flex天空
12-03 1932
  最近公司里部分员工计算机频繁出现不能上网的问题,这些计算机都是自动获得IP的,经过排查发现他们的网关地址都出现了问题,正确的地址应该是10.82.4.254,而这些故障计算机得到的网关地址却是10.82.4.65。部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。为什么真正的DHCP服务
如何防御DHCP攻击
最新发布
weixin_73134956的博客
02-02 1627
2. 使用DHCP SnoopingDHCP Snooping是一种网络安全机制,可以在交换机上设置,用于验证和过滤通过交换机的DHCP消息。它可以验证DHCP消息的源IP地址和MAC地址信息,确保只有合法的DHCP服务器才能提供IP地址分配。DHCP(动态主机配置协议)攻击是一种网络攻击方式,攻击者通过篡改或伪造DHCP请求和响应消息,来获取目标网络中的IP地址、网关和DNS服务器等配置信息,甚至获取到未经授权的网络连接。这样可以确保只有经过授权的设备可以接入网络,防止未经授权的设备进行DHCP攻击。
如何解决局域网非法DHCP服务器问题扫描.pdf
11-14
可以在路由器上保留服务器的68端口,封闭客户机的68端口,以达到过滤非法DHCP服务器的目的。 4. 查出非法DHCP服务器幕后黑手,进行屏蔽 可以通过ping ip查到主机名,然后通过arp主机名查出MAC地址。知道了MAC地址...
内网非法DHCP服务器查找
05-10
### 内网非法DHCP服务器查找 #### 一、背景介绍 在企业或组织机构的内部网络中,DHCP(动态主机配置协议)是极为重要的网络管理工具之一,它能够自动为连接到网络中的计算机或其他设备分配IP地址及相关的网络参数...
H3C交换机禁止从非法DHCP获取到IP的配置方法
02-06
3. **限制DHCP报文**:DHCP Snooping能够过滤非法DHCP服务器发送的数据包,确保只有合法的DHCP服务器才能参与IP地址分配过程。 #### 二、配置步骤详解 下面详细介绍如何在H3C交换机上配置DHCP Snooping以禁止从...
局域网内出现了2个DHCP服务器.pdf
11-26
在路由器上保留服务器的68端口,封闭客户机的68端口,就能达到过滤非法DHCP服务器的目的。但是,这种方法操作起来不方便,且会增加路由器的负担,影响到网络速度。 4、查出非法DHCP服务器幕后黑手,进行屏蔽 可以...
路由设置关闭DHCP,IP与MAC绑定,MAC过滤的解决办法
11-05
无线WEP破解密码后对方路由设置关闭DHCP,IP与MAC绑定,MAC过滤的解决办法
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2840
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
干扰服务器系统,解决局域网中干扰DHCP服务器的办法~
weixin_30910583的博客
08-04 1393
一般在局域网环境下,如果是规模比较大的工厂或者宿舍,如果是相对简单的局域网架构的话,很容易受到非法DHCP设备的干扰。比如说,IP地址是172.16.xx.xx是合法的地址,DHCP地址池比如172.16.0.1~172.16.1.254是合法的。一般情况下,桌面级网络设备,我们会使用八口或者16口的交换机。但遇到管理不严格的单位会有些人在办公室私接共享用的小宽带路由器,或者是无线宽带路由器。而这...
Windows DHCP Server基于MAC地址过滤客户端请求实现IP地址的分配
weixin_33826609的博客
01-01 783
企业中,为了降低管理员对于IP地址管理、分配的复杂繁琐性,很多企业都会架设Windows DHCP服务器,通过DHCP服务器为企业中的客户端自动分配IP地址。但是面对现代如此庞大数量的客户端PC、手机、平板等,也导致安全性面临巨大挑战。其实DHCP可以通过MAC地址过滤来实现IP地址分配,可以将企业中多有授权的客户端MAC地址收集起来,在DHCP服务器中进行设置,使其顺利获取IP,而没有被授权的客...
DHCP Failover中的Filter同步
weixin_34342905的博客
12-03 341
前景公司搭建了2012的DHCP并配置了Failover,一切功能OK。突然发现地址池不够用,原来是因为Filter中的拒绝的手机没有同步到另一台,导致手机连接上了,消耗了大量的IP地址。那要怎么让这个同步呢?思路很简单。在之前主的上面导出这个列表,然后新的上面再导入就可以了。只是没有图形的导入,所以使用了脚本,让其自动同步。正文#DHCP Filter Replicatio...
Windows DHCP 筛选池同步
夜邢的博客
08-13 889
Windows DHCP 筛选池同步
使用交换机的dhcp snooping拒绝非法dhcp服务
weixin_34152820的博客
05-12 1428
我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取。 其实此次变更还是蛮顺利的,在将核心交换机上配置了DHCP的服务之后,3栋公寓楼的vlan101-106总共6个vlan,大部分计算机都可以正常获取到ip地址正常上网了,在vlan1...
HCIA------DHCPACL
一只眠羊的博客
04-17 809
DHCP DHCP:动态主机配置协议 作用:自动分配和获取IP地址等参数信息 角色:DHCP Server(服务器)、DHCP Client(客户端) DHCP报文类型 DHCP工作原理 ①DHCP Discover:发现报文------广播 ②DHCP Offer:回复报文------单播 ③DHCP Request:请求------广播 作用: (1)向全网通告所有使用的IP地址 (2)进行IP地址的续租请求 ④DHCP ACK:确认------单播 地址池: 接口地址池 dhcp enable
路由设备充当非法DHCP服务器定位方案
XWL1992的专栏
11-22 742
确定非法DHCP服务器设备IP地址 故障电脑上使用arp –a 命令查看物理地址信息列表,找到上述IP地址对应的mac地址; 进入接入层交换机,使用display mac-address mac命令查看交换机mac地址表项,找到该设备接入端口; 找到该接口所对应的办公室并取缔。 ...
DHCP Snooping:网络安全利器与非法服务器过滤
DHCP snooping是一种网络安全技术,它通过监控和过滤客户端(DHCP Client)与服务器DHCP Server)之间的动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)交互报文,以确保网络资源的安全性和稳定性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zdl244

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值