局域网内的“内鬼”指的是未经授权的DHCP(动态主机配置协议)服务器,它能够导致网络中的计算机接收到错误的网络配置信息,从而影响网络的正常运行。非授权DHCP服务器可能会分配无效的IP地址、子网掩码、网关或DNS服务器地址,使得用户无法正确访问互联网。这种情况通常发生在设置了自动获取IP地址的计算机上,因为它们会响应网络中任意一个DHCP服务器的回应。
我们需要理解DHCP的工作原理。在局域网中,当一台计算机启动并设置为自动获取IP地址时,它会发送一个DHCP发现广播包。网络中的任何DHCP服务器在接收到这个广播包后,会回应一个包含网络参数的DHCP Offer包。如果网络中有多个DHCP服务器,哪个服务器先回应是不确定的,这可能导致客户端接收到来自非法服务器的配置信息。
针对非授权DHCP服务器的防范策略通常分为两类:消极防范和积极防范。
1. 消极防范:
这种方法并不彻底解决问题,而是通过多次尝试释放和重新获取网络参数来解决临时问题。使用`ipconfig /release`命令释放当前的IP配置,然后使用`ipconfig /renew`命令尝试重新获取。如果客户端仍然接收到错误的配置,就需要反复执行这两个命令,直到获得正确的网络信息。然而,这种方法并不理想,因为它依赖于运气,且在DHCP租约到期后问题可能再次出现。
2. 积极防范:
官方提供的一种解决方案是利用Windows系统的“域”功能。在Windows环境下,通过将合法的DHCP服务器添加到活动目录(Active Directory)中,可以实现对非授权DHCP服务器的过滤。在加入域的环境中,只有经过认证的DHCP服务器才能对客户端的请求作出响应,从而优先级高于未加入域的服务器。具体操作步骤包括在DHCP管理工具中选择需要认证的服务器,并输入其IP地址进行授权。
这种方法虽然有效,但需要建立域环境,对于许多中小企业来说,这可能过于复杂和成本过高。此外,这种方法仅适用于基于Windows的非授权DHCP服务器,对于非Windows操作系统,如NT4,可能存在兼容性问题。
防止非授权DHCP服务器的关键在于控制网络中的DHCP响应,确保客户端只接受来自已知和信任的DHCP服务器的配置信息。在无法建立域环境的情况下,可以考虑使用其他网络管理工具或技术,如端口镜像、网络监控软件,以及严格控制网络设备的接入,以减少非法DHCP服务器的存在。同时,对网络进行定期审计和安全检查,及时发现并处理潜在的安全隐患,也是非常重要的。
