DHCP連結層篩選之防護機制

作 　 者：何斯慕 精誠資訊 恆逸教育訓練中心 資深講師
技術分類：資訊安全

依據DHCP 通訊協定，自動發放用戶端IP位址及網路選項設定，企業內大多數的用戶端電腦皆設定為DHCP用戶端，一方面降低管理者的工作，二方面也簡化用戶端的網路設定。當DHCP伺服器遭受網路工具程式Gobbler (DHCP Starvation Attack Tool)、IRPAS (Internetwork Routing Protocol Attack Suite)或Yersinia採用DHCP攻擊，連續大量向DHCP伺服器租IP，最終結果造成DHCP伺服器沒有IP可以再租給用戶端電腦，或者企業需要控管授權的電腦主機才可以租到DHCP伺服器所發放的IP。

採用DHCP資料連結層篩選，可依據企業內用戶端電腦網路卡的MAC位址，DHCP伺服器提供網路存取控制用以發行或拒絕 DHCP 租用 IP 位址。MAC 位址的輸入可以是完整位址或使用萬用字元。

設定 DHCP 連結層篩選步驟

1. 啟用篩選器，執行DHCPMGMT.msc，展開【DHCP伺服器】，點選【IPv4】，滑鼠右鍵【內容】，點選【篩選器】標籤。選取【啟用允許清單】或【啟用拒絕清單】。

2. 新增篩選器，展開【IPv4﹨篩選器﹨允許】或【IPv4﹨篩選器﹨拒絕】，滑鼠右鍵【新增篩選器】，輸入【[MAC 位址】和【描述】。

3. 當使用者電腦主機未經授權，系統將租不到DHCP伺服器所發放的IP。

【ENSA】EC-Council ENSA網路安全管理師認證課程