过滤dhcp报文

❶ h3c交换机怎么阻止非法DHCP

防DHCP服务器仿冒功能典型配置举例
Switch的端口Ethernet1/0/1与DHCP服务器端相连，端口Ethernet1/0/2，Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。

在Switch上开启DHCP Snooping功能。

在端口Ethernet1/0/2，Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时，发送Trap信息；当端口Ethernet1/0/3上发现仿冒DHCP服务器时，进行管理down操作。

为了避免攻击者对探测报文进行策略过滤，配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111（不同于交换机的桥MAC地址）。

# 开启DHCP Snooping功能。

<Switch> system-view

Enter system view, return to user view with Ctrl+Z.

[Switch] dhcp-snooping

# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。

[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111

# 在端口Ethernet1/0/2上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/2

[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。

[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap

[Switch-Ethernet1/0/2] quit

# 在端口Ethernet1/0/3上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/3

[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。

[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown

有些交换机不支持这种操作，可以开启dhcp snooping后将连了合法dhcp的端口设为trust。

❷ 如何做好局域网的安全维护

维护局域网安全1、预防地址冲突
DHCP监听技 术可以防止非信任DHCP服务器通过地址冲突的方式，干扰信任DHCP服务器的工作稳定性。在实际管理网络的时候，我们经常会发现在相同的工作子网中，可 能同时有多台DHCP服务器存在，这其中有的是网络管理员专门架设的，也有的是无意中接入到网络中的。比方说，ADSL拨号设备可能就内置有DHCP服务 功能，一旦将该设备接入到局域网中后，那么该设备内置的DHCP服务器就会自动为客户端系统分配IP地址。这个时候，经过网络管理员授权的合法DHCP服 务器，就可能与ADSL拨号设备内置的DHCP服务器发生地址上的冲突，从而可能会对整个局域网的安全性带来威胁。这种威胁行为往往比较隐蔽，一时半会很 难找到。一旦使用了DHCP监听技术，我们就可以在局域网的核心交换机后台系统修改IP源绑定表中的参数，并以此绑定表作为每个上网端口接受数据包的检测 过滤标准，来将没有授权的DHCP服务器发送的数据报文自动过滤掉，那样一来就能有效预防非法DHCP服务器引起的地址冲突问题了。

维护局域网安全2、预防Dos攻击
大家知道，一些非常阴险的攻击者往往会单独使用Dos攻击，袭击局域网或网络中的重要主机系统;要是不幸遭遇Dos攻击的话，那么局域网的宝贵带宽资源 或重要主机的系统资源，就会被迅速消耗，轻则导致网络传输速度缓慢或系统反应迟钝，重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话， 那么局域网就可以有效抵御Dos攻击了，因为Dos攻击主要是用大量的连接请求冲击局域网或重要主机系统，来消耗带宽资源或系统资源的，而DHCP监听技 术恰好具有报文限速功能，利用这个功能我们可以合理配置许可的每秒数据包流量，这样就能实现抵御Dos攻击的目的了。
维护局域网安全3、及时发现隐患
大家知道，在默认状态下核心交换机会自动对第二层Vlan域中的DHCP数据报文进行拦截，具体地说，就是在选用中级代理信息选项的情况下，交换机在将客 户端的上网请求转发给特定的DHCP服务器之前，它会自动将端口号码、入站模块、MAC地址、Vlan号等信息插入到上网请求数据包中。这个时候，如果结 合接口跟踪功能，DHCP监听技术就能够自动跟踪DHCP服务器中地址池里的所有上网地址，而不会受到单位局域网中跨网段访问的限制，这么一来就能及时发 现局域网中的一些安全隐患，对于跨网段的DHCP服务器运行安全也能起到一定程度的防护作用。
维护局域网安全4、控制非法接入
由于任何一种形 式的数据报文，都是通过交换端口完成发送与接收操作的，显然交换端口的工作状态与DHCP监听的效果息息相关。一般来说，我们会将网络管理员授权的合法 DHCP服务器所连的交换端口设置为DHCP监听信任端口，或者是将分布层交换机之间的上行链路端口设置为DHCP监听信任端口。对于信任端口来说，交换 机会允许它正常发送或接收所有的DHCP数据报文，这么一来交换机就会只允许合法的DHCP服务器对客户端系统的上网请求进行响应，而非法的DHCP服务 器则不能向局域网发送或接收DHCP数据报文。很明显，通过这种技术手段，就能控制非法的DHCP服务器接入到单位局域网中了。
局域网安全维护配置
为了有效使用DHCP监听功能，防护局域网的运行安全，我们需要对该功能进行正确配置，让其按照实际安全运行需求进行工作。由于DHCP监听功能主要是通 过建立端口信任关系实现数据过滤目的的，为此我们需要重点配置究竟哪些交换端口是信任端口，哪些交换端口是非信任端口。具体的说，我们需要在交换机中进行 下面几项安全维护配置操作：
维护局域网安全5、信任配置
这种配置主要就是在合法DHCP服务器所连交换端口上启用信任，或者是在分布层或接入层交换机之间的互连端口上启用信任。如果不对上述重要端口建立信任配 置，那么普通客户端系统将无法正常从合法DHCP服务器那里接受到有效的上网参数。当然，为了防止普通员工私下搭建DHCP服务器，威胁合法DHCP服务 器的运行安全，我们有必要将普通客户端系统所连的交换端口设置为非信任的端口，那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉，此时局域网中 的其他客户端系统不知道有这台非法DHCP服务器的存在。

❸ wireshark 怎么过滤显示只看dhcp某种报文

在过滤器的位置输入 【bootp】 就能显示DHCP协议相关的包了。

❹ 如何让dhcp客户端指定从某个dhcp服务器获取ip

不要想着在PC跟DHCP服务器上动手脚的，没用。PC获取IP是广播的形式，在PC上设置无效。 2台授权DHCP 你也没办法，你可以尝试在交换机上设置啊，过滤掉不信任信息..
网上应该有这种方法，好像见过，但是我也不会.. 你可以网络下。希望对你有用
帮你查到了。
还有更好的方法，就是利用交换机的DHCP监听，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口，将DHCP服务器所连接的端口定义为信任端口，其它连接到普通客户端的端口全部定义为不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，drop掉来自这些端口的非正常 DHCP 报文，从而达到过滤内网非法DHCP服务器的目的。

基本配置示例：

switch(config)#ip dhcp snooping vlan 100,200

/* 定义哪些 VLAN 启用 DHCP 嗅探

switch(config)#ip dhcp snooping

switch(config)#int fa4/10 /* dhcp服务器所在端口

switch(config-if)#ip dhcp snooping trust

switch(config)#int range fa3/1 - 48 /* 其它端口

switch(config-if)#no ip dhcp snooping trust (Default)

switch(config-if)#ip dhcp snooping limit rate 10 (pps)

/* 一定程度上防止 DHCP 拒绝服务攻击

❺ 求助：谁知道如何防止私设的DHCP服务

看你在网络中是个什么权限，都有哪些设备。
别人私设服务器，你是无法阻止的，你能做到的就是阻止DHCP报文。
阻止DHCP报文，一个是通过交换机或者路由器的MAC过滤，DHCP报文的ACL过滤等等。
还有的是通过DHCP snooping的方法。只有这些，才能阻止DHCP报文的通过。
明白了请采纳，不明白请追问。

❻ DHCP工作过程包括哪四种报文

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。DHCP具有以下功能：

1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。

2. DHCP应当可以给用户分配永久固定的IP地址。

3. DHCP应当可以同用其他方法获得IP地址的主机共存（如手工配置IP地址的主机）。

4. DHCP服务器应当向现有的BOOTP客户端提供服务。

DHCP四种报文数据包

一、discover

❼ DHCP snooping有什么作用，一般的交换机、AP都有这种功能吗

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP
Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。简单的说就是隔离不安全的DHCP Server，将目的的DHCP服务器保护起来。DHCP
Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。一般的网管式交换机都有这个功能，AP需要看厂家，可能有的厂家支持，有的不支持，一般来说AP也是具备DHCP Snooping功能的。

❽ DHCP原理详解

DHCP的原理与配置

DHCP叫做动态主机配置协议，它可以帮助主机动态下发IP地址以及网关DNS服务器等信息，减少大型组网中手动配置IP地址的过程，将管理员的工作简化。

以上是DHCP的原理，至于配置方面由于厂商很多，配置脚本也很多，，大家在配置的时候只需要记住几个点：
1、创建地址池
2、地址池中包含的网段信息，即可分配给主机的所有可用地址
3、网关地址信息
4、DNS服务器地址信息
5、在接口上挂接地址池

无论什么品牌的设备，只要遵循这五个步骤，都可以完成DHCP的基础配置，当然，DHCP中还有很多更加深入技术点，例如基于DHCP安全的DHCP SNOOPING，以及DHCP RELAY等等。

❾ 如何关闭dhcp服务

1、在电脑桌面上找到我的电脑，单击鼠标左键。

(9)过滤dhcp报文扩展阅读：

在使用租期超过50%时刻处，DHCP Client会以单播形式向DHCP Server发送DHCPRequest报文来续租IP地址。

DHCP客户端可以接收到多个DHCP服务器的DHCPOFFER数据包，然后可能接受任何一个DHCPOFFER数据包，但客户端通常只接受收到的第一个DHCPOFFER数据包。

另外，DHCP服务器DHCPOFFER中指定的地址不一定为最终分配的地址，通常情况下，DHCP服务器会保留该地址直到客户端发出正式请求。

正式请求DHCP服务器分配地址DHCPREQUEST采用广播包，是为了让其它所有发送DHCPOFFER数据包的DHCP服务器也能够接收到该数据包，然后释放已经OFFER（预分配）给客户端的IP地址。

❿ DHCP工作过程包括哪四种报文

使用DHCP正常获取地址的过程中使用的是以下4种报文：

（1）客户端广播DHCP发现（DHCP Discovery）

（2）服务器回应DHCP响应（DHCP Offer）

（3）客户端广播DHCP请求（DHCP Request）

（4）服务器回应DHCP确认（DHCP ACK）

其实还有其他类型的报文，客户端发现分配的IP地址已经被占用时，发送DHCP Decline，通知服务器IP地址已被占用，要求重新分配。

客户端可以主动释放IP地址，DHCP Release。

如果客户端移动到了另一个IP地址不同的网络，并向服务器申请续租时，服务器发现客户端IP地址错误，发送DHCP NAK通知客户端重新申请IP地址。