如何解决局域网非法DHCP服务器问题

DHCP安全问题及防范措施摘要：现代社会是一个被网络包围的社会，上网成为现代人的生活基本需求，网络也成为现代企业的基本生产工具之一。

在这个大背景下，有限的IP网络地址资源分配成为制约网络信息发展的障碍，引入DHCP（动态主机配置协议）服务成为重要的解决手段，但是DHCP协议在安全上存在的漏洞使得在使用DHCP服务器为主机配置网络地址和参数时面临威胁。

文章对这些DHCP安全问题和防范措施进行了探讨。

关键词：DHCP；安全问题；防范措施1 DHCP的安全问题作为允许无盘工作站连接到网络并使之自动获取一个IP地址的BOOTP协议的扩展之一，DHCP（动态主机分配协议）由两个基本部分组成，一部分是向网络主机传送专用的配置信息，一部分是给主机分配网络地址。

DHCP技术很好解决了IP地址匮乏的现实问题，同时还解决了移动计算机迅速获取IP地址的技术难题，为网络信息的发展做出了重要的贡献。

但是由于在设计DHCP时更多的考虑是网络连接的便利性，存在一定的安全漏洞，其中主要的有以下几种：①DHCP在设计上不具有任何防御恶意主机的功能。

随着带有DHCP功能家用路由器的大量使用，使用不当的话就可能将这些路由器转变为DHCP服务器，这些所谓的DHCP服务器可能对外发布虚假网关地址、IP地址池甚至是错误的DNS服务器信息，如果这些非法DHCP指定的DNS服务器被蓄意修改，就有可能将用户引导到木马网站、虚假网站，盗窃用户账号和密码，威胁用户的信息安全。

②DHCP与客户端相互之间没有认证机制，自身没有访问控制。

由于DHCP 可以方便的为网络中的新用户配置IP地址和参数，一个非法的客户可以通过伪装成合法的用户来申请IP地址和网络参数，避开网络安全检查，实现“盗用服务”，导致网内信息的泄露。

另外，非法用户还可以通过“拒绝资源”攻击的方式，例如耗尽有效地址、CPU或者网络资源等，瘫痪蓄意攻击的网络。

③DHCP在安全方面仅仅提供了有限的辅助工具来对分发的IP地址进行管理和维护，不具有将地址和用户联合起来的复杂管理功能，使得网络管理员无法对IP冲突或者流氓IP地址进行有效、快速的认证和网络跟踪。

如何应对伪造DHCP服务器攻击作者：吴浩来源：《价值工程》2017年第32期摘要：作为一个大中型园区网络的管理员，对非法DHCP路由干扰和ARP欺骗攻击肯定深恶痛绝。

本文对市场上主流几款品牌交换机进行了实验，总结出一套方法应对伪造DHCP服务器攻击。

Abstract： Large and medium-sized campus network administrators must hate the illegal DHCP routing interference and ARP deception attack. In this article， several mainstream brands of switches in the market are experimented， and a s et of methods are summed up to deal with forged DHCP server attacks.关键词： DHCP；交换机；路由干扰；ARPKey words： DHCP；switch；routing interference；ARP中图分类号：TP368.5 文献标识码：A 文章编号：1006-4311（2017）32-0144-02DHCP使服务器能够动态地为网络中的其他终端提供IP地址，通过使用DHCP，就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。

使用DHCP可以大大简化配置客户机的TCP/IP的工作，尤其是当某些TCP/IP参数改变时，如网络的大规模重建而引起的IP地址和子网掩码的更改。

DHCP 由于实施简单，特别适合人群数量大且流动性强的环境，例如跨国企业、高等院校等。

通过DHCP服务，不用给来访者的终端做任何配置即可连入局域网。

同时，由于局域网划分了大量Vlan，客户从一个 Vlan移动到另外一个Vlan也不需要改动终端的任何设置，非常方便。

解决网络IP地址无法分配的问题网络IP地址无法分配是一种常见的网络问题，它可能会导致用户无法连接到互联网或者局域网内无法进行有效的网络通信。

这篇文章将会介绍一些解决网络IP地址无法分配问题的方法。

1. 检查DHCP服务器设置DHCP服务器是负责分配IP地址的设备，首先需要检查其设置是否正确。

确保DHCP服务器的IP地址池范围足够大以容纳所有连接到网络的设备。

另外，检查DHCP服务器的租约时间，确保其设置合理，避免IP地址被过早释放。

2. 检查DHCP客户端配置如果无法获得IP地址，可能是因为客户端的DHCP配置存在问题。

首先，确保客户端的网络设置中DHCP选项已经启用。

其次，如果客户端已经手动设置了IP地址，需要将其改为自动获取IP地址。

此外，检查客户端的子网掩码和默认网关设置是否正确。

3. 重启网络设备有时候，重启网络设备可以解决IP地址无法分配的问题。

首先，尝试重启DHCP服务器和路由器。

待设备重新启动后，重新尝试获取IP地址。

如果问题仍然存在，可以尝试重启客户端设备。

4. 解决IP地址冲突问题IP地址冲突可能会导致无法分配IP地址。

在网络中，每个设备都应该具有唯一的IP地址。

如果多台设备使用了相同的IP地址，就会导致冲突。

解决这个问题的一种方法是通过更改冲突设备的IP地址来消除冲突。

另外，也可以使用IP地址冲突检测工具来帮助查找并解决冲突。

5. 确保网络连接正常IP地址无法分配的原因之一可能是网络连接出现故障。

检查网络连接是否正常，确保网络设备的电缆连接稳固无松动。

还可以通过使用其他设备尝试连接同一网络来确定是否是特定设备的问题。

如果是网络连接故障，需要修复或更换相关设备。

6. 考虑静态IP地址分配如果以上方法仍然无法解决IP地址无法分配的问题，可以考虑使用静态IP地址分配。

静态IP地址是手动设置给设备的固定IP地址，不需要通过DHCP服务器来分配。

但需要注意的是，静态IP地址可能导致IP地址冲突和管理上的繁琐，因此仅在无法使用动态IP地址分配时采用。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和 ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

局域网内DHCP冲突的几个解决方式局域网内DHCP冲突的几个解决方式随着计算机科学技术的快速发展，计算机通信网络和Internet已经成为工作、生活和学习必不可少的组成部分。

在局域网管理中，网络管理员普遍使用DHCP进行网络配置，确保能够安全、可靠、方便地进行动态IP地址分配。

在使用DHCP动态分配地址的局域网中，本来是能够正确分配IP 地址的，计算机能正常上网的。

但是如果有人在某个端口接入了具有DHCP功能的路由器设备，或者在局域网中安装了服务器系统并开启了DHCP服务，那么这时在局域网中存在了多个DHCP服务器，进而产生了DHCP冲突问题。

计算机就有可能获取了非法DHCP服务器提供的IP地址，从而发生了计算机获取不了正确的IP地址，无法正确上网的问题，导致局域网不正常的现象。

1 模拟局域网内产生DHCP冲突现象2 探究产生DHCP冲突原因为什么会产生上述问题呢？首先了解计算机动态获取IP地址的过程：1） DHCP发现：客户PC在局域网中通过广播发送DHCP请求，寻找可用的DHCP服务器。

2）DHCP提供：当DHCP服务器收到一个来自客户PC的IP租约请求时，它会提供一个IP租约，发送到请求的客户PC。

3）DHCP请求：当客户PC收到一个IP租约提供时，会发送一个DHCPREQUEST消息，告诉DHCP服务器接受了这个租约提供。

4）DHCP确认：当DHCP服务器收到来自客户PC的DHCPREQUEST消息后，它就开始了配置过程的最后阶段，完成DHCP分配。

由于这个局域网中存在一个合法的DHCP服务器，同时还存在多个非法的DHCP服务器，当计算机发送DHCP请求时，由于是广播发送的，所以所有的DHCP服务器都收到这个请求，都可以进行DHCP提供，产生了DHCP冲突问题，从而导致了计算机可以获取到非法的IP地址，导致了局域网不正常，计算机不能正常上网。

3 解决DHCP冲突方法DHCP产生冲突是由于在局域网中同时存在多个DHCP服务器，我们解决DHCP冲突的思路就是让计算机获得正确的IP地址，只有合法的DHCP服务器才能提供动态IP地址。

路由器DHCP服务器被关闭电脑无法上网怎么解决路由器DHCP服务器被关闭电脑无法上网怎么解决人们使用电脑时候最不想看到的事情之一就是上不了网了，无论是工作还是玩游戏时候都很不爽。

近来有用户发现家里的所有智能设备都没有办法连接到网络，电脑也一直显示正在获取IP地址，这个问题有可能是路由器的DHCP服务器被关闭的原因。

如果出现了这样的情况，那么可尝试通过以下方法进行解决。

路由器DHCP服务器被关闭电脑无法上网怎么解决1、打开网络连接列表;2、右击打开本地连接属性，点击Internet协议(TCP/IP4)属性;3、选择手动设置IP和DNS;4、将自动获得IP改为使用下面IP，将子网掩码改为255.255.255.0，点击确定，关闭本地连接属性窗口;5、连接上之后，打开路由器设置界面，将DHCP改为启用，点击保存，再重启路由器即可。

如果发现路由器DHCP服务器被关闭，导致电脑无法上网的话，不妨按照以上方法进行设置。

补充：电脑突然无法上网如何解决右击网络图标，打开网络共享中心，查看我们的网络连接目前的情况。

在网络共享中心中第一条就是我们目前网络连接的示意图，查看在那个位置有问题。

一般会在连接有问题的地方出现黄色的叹号或者红色的叉号。

单击黄色的叹号或者红色的叉号系统就会自动的检测问题，等待一会结果就会出来了，能否解决问题系统也会给出提示。

系统提示无法修复，但是其实问题已经解决了，再次进行连接即可。

如果自动修复以后还是不行，那就是我们的网络连接设置需要手动的进行一些设置。

打开网络共享中心，在左侧有一个管理适配器的选项，单击进入。

在里面可以看到电脑中所有的网络连接使用的适配器开启状态。

右击，选择诊断操作看是否能够正常修复。

注意选择诊断的适配器是我们需要使用的，如网线就是本地连接，无线就是无线网络。

诊断之后我们需要对其进行禁用然后重启的操作。

我们还可以使用软件进行修复，电脑管家里面就有很好的修复功能，这里就以它为例。

我们都很对DHCP故障处理的流程进行了讲解，一些图示效果，相信大家对此也应该有一些印象。

今天，我们来讲解一下DHCP故障处理步骤。

总共分为三个大步，其中一些细节，望大家能够有所掌握。

A计划DHCP故障处理步骤1.检查物理连接是否畅通在客户端与服务器连接的网卡上配置IP地址，确保该IP地址与服务器端接口GigabitEthernet1/0/0的IP地址在同一网段。

从客户端ping GigabitEthernet1/0/0接口的IP地址，如果可以ping通，则说明连接畅通，可以排除物理线路故障。

也可以在服务器端打开DHCP的调试开关，查看是否可以收到客户端的DHCPDISCOVER报文。

B计划DHCP服务器的配置是否正确a.执行命令dhcp enable，使能DHCP服务。

b.执行命令display dhcp server tree all，查看全局地址池是否存在，且地址池中的IP地址与接口GigabitEthernet1/0/0的IP地址是否在同一个网段中。

◆如果地址池不存在，执行命令dhcp server ip-pool pool-name和命令network ip-address [ mask { mask mask-length } ]创建地址池和配置地址池中可动态分配的IP地址范围。

如果客户端仍然无法获取IP 地址，请执行步骤c。

◆如果地址池存在，但地址池中的IP地址与接口GigabitEthernet1/0/0的IP地址不在同一个网段，则修改地址池中的IP地址或修改接口GigabitEthernet1/0/0的IP地址，使二者在一个网段中。

如果客户端仍无法获取IP地址，请执行步骤c。

◆如果地址池存在，且地址池中的IP地址与接口GigabitEthernet1/0/0在同一个网段中，请执行步骤c。

c.系统视图下执行命令dhcp select global { all interface interface-type interface-number }或在GigabitEthernet1/0/0接口视图下执行命令dhcp select global，确保GigabitEthernet1/0/0下的客户从全局地址池获取地址。

探讨DHCP环境下防范非法DHCP服务器的措施作者：徐坚来源：《电脑知识与技术》2011年第09期摘要：在使用DHCP服务的网络中，非法DHCP服务器的存在将干扰合法DHCP服务器的正常工作，从而影响网络的正常运行。

该文给出了DHCP服务的工作过程，分析了非法DHCP服务器可能带来的危害，并提出了一些如何防范非法DHCP 服务器的措施。

关键词：DHCP服务器；防范措施；非法DHCP服务器中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)09-2006-02Some Precaution Measures Against Illegal DHCP Servers in DHCP NetworkXU Jian(School of Computer Science and Engineering, Qujing Normal University, Qujing 655011, China)Abstract: In a network providing DHCP service, illegal DHCP servers will interfere with the legal DHCP servers and affect the normal work of network. This paper presents the working processof DHCP service and analyzes the harm caused by illegal DHCP servers. To avoid the harm, the author proposes some precautionary measures on how to disable illegal DHCP servers from DHCP Service.Key words: DHDP server; precautionary measures; Illegal DHCP Servers在使用TCP/IP协议的网络中，每一台主机都必须有一个IP地址，并通过此IP地址与网络上的其他计算机通信。