Mạng cty mình sử dụng DHCP để cấp IP cho các máy trạm.
Thế nhưng 1 hôm đẹp trời có 1 ông cài 1 con DHCP server khác lên và cắm vào mạng. Thế là nó cấp phát lung tung hết cả. Làm cách nào để ngăn chặn việc cấp phát DHCP này?
Mạng cty mình sử dụng DHCP để cấp IP cho các máy trạm.
Thế nhưng 1 hôm đẹp trời có 1 ông cài 1 con DHCP server khác lên và cắm vào mạng. Thế là nó cấp phát lung tung hết cả. Làm cách nào để ngăn chặn việc cấp phát DHCP này?
unauthorized cái dhcp lụi kia 1 phát, thế là nó nín thở liền(nếu domain), còn không thì tắt disable nó đi. ( nói sai chổ nào không bà con cô bác, ngại quá).
Nó không join vào domain của mình thì làm gì được nó hả bác. Có cách nào hiệu quả hơn không.
Bây giờ nói chuyện thực tế, có thể kiểm tra cái thằng DHCP đó máy nào đó, có được không. Cách pro thì mình chịu, mình là amatuer,
Kiểm tra bảng tcp, udp, coi cái chuyện xin udp đi từ chổ nào tới chổ nào, rồi coi cái cái nào đã có bắt tay, có gì gì đó, tới đó bụp ngay. (mình có nổ bậy chổ nào không bà con, ngại quá). Vì mình chỉ biết có nguyên tắc, cách làm thì chịu. Vì khi xin IP, máy mình gửi gói UDP đi cho nhanh, gửi broadcast gì gì đó, tới hồi thằng DHCP kia nhận được, hình như nó reply lại gì đó, rồi nó cho IP. Mấy anh biết về nguyên tắc, biết cách làm, chỉ giùm đi.
Tìm ra thằng đấy thì tìm được ngay. Có IP => MAC .Xong dùng Switch Cisco dò ngay ra cổng của nó được.
Nhưng vấn đề là mình muốn phòng chống chứ không phải muốn chữa.
Có ai biết giúp mình với
Bác cho nó cái quyền gì mà nó Authorize cái DHCp vào domain của bác được nhỉ. Chỉ có Domain Admin mới được quyền authorize thôi. Đừng có cấp quyền lung tung là phòng chống được
Nó là cái máy ảo (VMWare) trên 1 máy. Nó không join vào domain thì mình cấm nó cấp phát DHCP sao được. Nó cứ offer khi có request và các máy client thì cứ nhận được offer của thằng DHCP nào trước là nó xin cấp liền. Mà cái thằng đấy nó ở gần client hơn nên nó sẽ nhanh hơn cái DHCP của mình mới cú chứ
Nếu you xài Switch Cisco thì you có thể khai báo UDP Helper Servers cho cổng 67 (cổng DHCP) trỏ đến DHCP của bạn là thằng kia chịu chết ngay.
Lâu rồi không làm cisco nhưng hình như lệnh đó là: ip helper-address x.x.x.x (x.x.x.x là ip của DHCP của bạn)
Khi đó các gói tin UDP xin cấp IP sẽ được redirect thẳng tới ip x.x.x.x và thằng DHCP lậu kia chết ngắc luôn vì không bao giờ nhận được gói tin xin cấp IP nào.
Được sửa bởi tềthiên lúc 09:28 ngày 01-11-2006
Hic. Sao lại bị mất bài viết thế nhỉ?
Bác tề thiên nhớ sai rồi. IP Helper là của Router chứ
Bookmarks