過濾dhcp報文

❶ h3c交換機怎麼阻止非法DHCP

防DHCP伺服器仿冒功能典型配置舉例
Switch的埠Ethernet1/0/1與DHCP伺服器端相連，埠Ethernet1/0/2，Ethernet1/0/3分別與DHCP Client A、DHCP Client B相連。

在Switch上開啟DHCP Snooping功能。

在埠Ethernet1/0/2，Ethernet1/0/3上開啟防DHCP伺服器仿冒功能。當埠Ethernet1/0/2上發現仿冒DHCP伺服器時，發送Trap信息；當埠Ethernet1/0/3上發現仿冒DHCP伺服器時，進行管理down操作。

為了避免攻擊者對探測報文進行策略過濾，配置Switch上防DHCP伺服器仿冒功能發送探測報文的源MAC地址為000f-e200-1111（不同於交換機的橋MAC地址）。

# 開啟DHCP Snooping功能。

<Switch> system-view

Enter system view, return to user view with Ctrl+Z.

[Switch] dhcp-snooping

# 配置防DHCP伺服器仿冒的報文發送的源MAC地址為000f-e200-1111。

[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111

# 在埠Ethernet1/0/2上使能防DHCP伺服器功能。

[Switch] interface ethernet1/0/2

[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable

# 在埠Ethernet1/0/2上配置防DHCP伺服器策略為發送Trap。

[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap

[Switch-Ethernet1/0/2] quit

# 在埠Ethernet1/0/3上使能防DHCP伺服器功能。

[Switch] interface ethernet1/0/3

[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable

# 在埠Ethernet1/0/3上配置防DHCP伺服器策略為shutdown。

[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown

有些交換機不支持這種操作，可以開啟dhcp snooping後將連了合法dhcp的埠設為trust。

❷ 如何做好區域網的安全維護

維護區域網安全1、預防地址沖突
DHCP監聽技 術可以防止非信任DHCP伺服器通過地址沖突的方式，干擾信任DHCP伺服器的工作穩定性。在實際管理網路的時候，我們經常會發現在相同的工作子網中，可 能同時有多台DHCP伺服器存在，這其中有的是網路管理員專門架設的，也有的是無意中接入到網路中的。比方說，ADSL撥號設備可能就內置有DHCP服務 功能，一旦將該設備接入到區域網中後，那麼該設備內置的DHCP伺服器就會自動為客戶端系統分配IP地址。這個時候，經過網路管理員授權的合法DHCP服 務器，就可能與ADSL撥號設備內置的DHCP伺服器發生地址上的沖突，從而可能會對整個區域網的安全性帶來威脅。這種威脅行為往往比較隱蔽，一時半會很 難找到。一旦使用了DHCP監聽技術，我們就可以在區域網的核心交換機後台系統修改IP源綁定表中的參數，並以此綁定表作為每個上網埠接受數據包的檢測 過濾標准，來將沒有授權的DHCP伺服器發送的數據報文自動過濾掉，那樣一來就能有效預防非法DHCP伺服器引起的地址沖突問題了。

維護區域網安全2、預防Dos攻擊
大家知道，一些非常陰險的攻擊者往往會單獨使用Dos攻擊，襲擊區域網或網路中的重要主機系統;要是不幸遭遇Dos攻擊的話，那麼區域網的寶貴帶寬資源 或重要主機的系統資源，就會被迅速消耗，輕則導致網路傳輸速度緩慢或系統反應遲鈍，重則出現癱瘓現象。而要是在核心交換機中使用了DHCP監聽技術的話， 那麼區域網就可以有效抵禦Dos攻擊了，因為Dos攻擊主要是用大量的連接請求沖擊區域網或重要主機系統，來消耗帶寬資源或系統資源的，而DHCP監聽技 術恰好具有報文限速功能，利用這個功能我們可以合理配置許可的每秒數據包流量，這樣就能實現抵禦Dos攻擊的目的了。
維護區域網安全3、及時發現隱患
大家知道，在默認狀態下核心交換機會自動對第二層Vlan域中的DHCP數據報文進行攔截，具體地說，就是在選用中級代理信息選項的情況下，交換機在將客 戶端的上網請求轉發給特定的DHCP伺服器之前，它會自動將埠號碼、入站模塊、MAC地址、Vlan號等信息插入到上網請求數據包中。這個時候，如果結 合介面跟蹤功能，DHCP監聽技術就能夠自動跟蹤DHCP伺服器中地址池裡的所有上網地址，而不會受到單位區域網中跨網段訪問的限制，這么一來就能及時發 現區域網中的一些安全隱患，對於跨網段的DHCP伺服器運行安全也能起到一定程度的防護作用。
維護區域網安全4、控制非法接入
由於任何一種形 式的數據報文，都是通過交換埠完成發送與接收操作的，顯然交換埠的工作狀態與DHCP監聽的效果息息相關。一般來說，我們會將網路管理員授權的合法 DHCP伺服器所連的交換埠設置為DHCP監聽信任埠，或者是將分布層交換機之間的上行鏈路埠設置為DHCP監聽信任埠。對於信任埠來說，交換 機會允許它正常發送或接收所有的DHCP數據報文，這么一來交換機就會只允許合法的DHCP伺服器對客戶端系統的上網請求進行響應，而非法的DHCP服務 器則不能向區域網發送或接收DHCP數據報文。很明顯，通過這種技術手段，就能控制非法的DHCP伺服器接入到單位區域網中了。
區域網安全維護配置
為了有效使用DHCP監聽功能，防護區域網的運行安全，我們需要對該功能進行正確配置，讓其按照實際安全運行需求進行工作。由於DHCP監聽功能主要是通 過建立埠信任關系實現數據過濾目的的，為此我們需要重點配置究竟哪些交換埠是信任埠，哪些交換埠是非信任埠。具體的說，我們需要在交換機中進行 下面幾項安全維護配置操作：
維護區域網安全5、信任配置
這種配置主要就是在合法DHCP伺服器所連交換埠上啟用信任，或者是在分布層或接入層交換機之間的互連埠上啟用信任。如果不對上述重要埠建立信任配 置，那麼普通客戶端系統將無法正常從合法DHCP伺服器那裡接受到有效的上網參數。當然，為了防止普通員工私下搭建DHCP伺服器，威脅合法DHCP服務 器的運行安全，我們有必要將普通客戶端系統所連的交換埠設置為非信任的埠，那樣一來交換機會將來自客戶端系統的提供響應報文自動丟棄掉，此時區域網中 的其他客戶端系統不知道有這台非法DHCP伺服器的存在。

❸ wireshark 怎麼過濾顯示只看dhcp某種報文

在過濾器的位置輸入 【bootp】 就能顯示DHCP協議相關的包了。

❹ 如何讓dhcp客戶端指定從某個dhcp伺服器獲取ip

不要想著在PC跟DHCP伺服器上動手腳的，沒用。PC獲取IP是廣播的形式，在PC上設置無效。 2台授權DHCP 你也沒辦法，你可以嘗試在交換機上設置啊，過濾掉不信任信息..
網上應該有這種方法，好像見過，但是我也不會.. 你可以網路下。希望對你有用
幫你查到了。
還有更好的方法，就是利用交換機的DHCP監聽，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，也就是過濾掉非法DHCP伺服器向網路上發送的數據包。首先定義交換機上的信任埠和不信任埠，將DHCP伺服器所連接的埠定義為信任埠，其它連接到普通客戶端的埠全部定義為不信任埠，對於不信任埠的DHCP報文進行截獲和嗅探，drop掉來自這些埠的非正常 DHCP 報文，從而達到過濾內網非法DHCP伺服器的目的。

基本配置示例：

switch(config)#ip dhcp snooping vlan 100,200

/* 定義哪些 VLAN 啟用 DHCP 嗅探

switch(config)#ip dhcp snooping

switch(config)#int fa4/10 /* dhcp伺服器所在埠

switch(config-if)#ip dhcp snooping trust

switch(config)#int range fa3/1 - 48 /* 其它埠

switch(config-if)#no ip dhcp snooping trust (Default)

switch(config-if)#ip dhcp snooping limit rate 10 (pps)

/* 一定程度上防止 DHCP 拒絕服務攻擊

❺ 求助：誰知道如何防止私設的DHCP服務

看你在網路中是個什麼許可權，都有哪些設備。
別人私設伺服器，你是無法阻止的，你能做到的就是阻止DHCP報文。
阻止DHCP報文，一個是通過交換機或者路由器的MAC過濾，DHCP報文的ACL過濾等等。
還有的是通過DHCP snooping的方法。只有這些，才能阻止DHCP報文的通過。
明白了請採納，不明白請追問。

❻ DHCP工作過程包括哪四種報文

DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）通常被應用在大型的區域網絡環境中，主要作用是集中的管理、分配IP地址，使網路環境中的主機動態的獲得IP地址、Gateway地址、DNS伺服器地址等信息，並能夠提升地址的使用率。

DHCP協議採用客戶端/伺服器模型，主機地址的動態分配任務由網路主機驅動。當DHCP伺服器接收到來自網路主機申請地址的信息時，才會向網路主機發送相關的地址配置等信息，以實現網路主機地址信息的動態配置。DHCP具有以下功能：

1. 保證任何IP地址在同一時刻只能由一台DHCP客戶機所使用。

2. DHCP應當可以給用戶分配永久固定的IP地址。

3. DHCP應當可以同用其他方法獲得IP地址的主機共存（如手工配置IP地址的主機）。

4. DHCP伺服器應當向現有的BOOTP客戶端提供服務。

DHCP四種報文數據包

一、discover

❼ DHCP snooping有什麼作用，一般的交換機、AP都有這種功能嗎

DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP
Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。簡單的說就是隔離不安全的DHCP Server，將目的的DHCP伺服器保護起來。DHCP
Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 介面等信息。一般的網管式交換機都有這個功能，AP需要看廠家，可能有的廠家支持，有的不支持，一般來說AP也是具備DHCP Snooping功能的。

❽ DHCP原理詳解

DHCP的原理與配置

DHCP叫做動態主機配置協議，它可以幫助主機動態下發IP地址以及網關DNS伺服器等信息，減少大型組網中手動配置IP地址的過程，將管理員的工作簡化。

以上是DHCP的原理，至於配置方面由於廠商很多，配置腳本也很多，，大家在配置的時候只需要記住幾個點：
1、創建地址池
2、地址池中包含的網段信息，即可分配給主機的所有可用地址
3、網關地址信息
4、DNS伺服器地址信息
5、在介面上掛接地址池

無論什麼品牌的設備，只要遵循這五個步驟，都可以完成DHCP的基礎配置，當然，DHCP中還有很多更加深入技術點，例如基於DHCP安全的DHCP SNOOPING，以及DHCP RELAY等等。

❾ 如何關閉dhcp服務

1、在電腦桌面上找到我的電腦，單擊滑鼠左鍵。

(9)過濾dhcp報文擴展閱讀：

在使用租期超過50%時刻處，DHCP Client會以單播形式向DHCP Server發送DHCPRequest報文來續租IP地址。

DHCP客戶端可以接收到多個DHCP伺服器的DHCPOFFER數據包，然後可能接受任何一個DHCPOFFER數據包，但客戶端通常只接受收到的第一個DHCPOFFER數據包。

另外，DHCP伺服器DHCPOFFER中指定的地址不一定為最終分配的地址，通常情況下，DHCP伺服器會保留該地址直到客戶端發出正式請求。

正式請求DHCP伺服器分配地址DHCPREQUEST採用廣播包，是為了讓其它所有發送DHCPOFFER數據包的DHCP伺服器也能夠接收到該數據包，然後釋放已經OFFER（預分配）給客戶端的IP地址。

❿ DHCP工作過程包括哪四種報文

使用DHCP正常獲取地址的過程中使用的是以下4種報文：

（1）客戶端廣播DHCP發現（DHCP Discovery）

（2）伺服器回應DHCP響應（DHCP Offer）

（3）客戶端廣播DHCP請求（DHCP Request）

（4）伺服器回應DHCP確認（DHCP ACK）

其實還有其他類型的報文，客戶端發現分配的IP地址已經被佔用時，發送DHCP Decline，通知伺服器IP地址已被佔用，要求重新分配。

客戶端可以主動釋放IP地址，DHCP Release。

如果客戶端移動到了另一個IP地址不同的網路，並向伺服器申請續租時，伺服器發現客戶端IP地址錯誤，發送DHCP NAK通知客戶端重新申請IP地址。