部署DHCP服務器 href="http://server.it168.com/" target=_blank>服務器為客戶端提供網絡服務， 這大大方便了網絡管理。 客戶端連入網絡后會發送DHCP請求包， DHCP服務器會應答并提供IP地址、子網掩碼、網關， DNS等信息。 但是， 而當網絡中出現另外一臺非法的DHCP服務器將會怎樣呢?顯而易見， 這必然造成網絡的混亂， IP攻擊也就會觸發。 “內鬼”難防， 如何防呢?

　　1、客戶端不斷請求

　　既然廣播包會發向網絡中的所有設備， 合法還是非授權服務器先應答是沒有任何規律的， 那么我們可以通過多次嘗試廣播包的發送來臨時解決這個問題， 直到客戶機可以得到真實的地址為止。

　　客戶端在命令行中先敲入命令“ipconfig /release”釋放非授權網絡數據， 然后輸入命令“ipconfig /renew”嘗試獲得網絡參數。 如果還是獲得錯誤信息則再次嘗試上面兩條命令， 直到得到正確信息。 不過這種方法治標不治本， 反復嘗試的次數沒有保證， 一般都需要十幾次甚至是幾十次， 另外當DHCP租約到期后客戶端需要再次尋找DHCP服務器獲得信息， 故障仍然會出現。

　　2、通過DC對DHCP授權

　　一般我們使用的操作系統都是Windows， 微軟為我們提供了一個官方解決辦法。 在windows系統組建的網絡中， 如果非授權DHCP服務器也是用Windows系統建立的話我們可以通過“域”的方式對非授權DHCP服務器進行過濾。 將合法的DHCP服務器添加到活動目錄(Active Directory)中， 通過這種認證方式就可以有效的制止非授權DHCP服務器了。

　　原理就是沒有加入域中的DHCP Server在相應請求前， 會向網絡中的其他DHCP Server發送DHCP INFORM查詢包,如果其他DHCP Server有響應， 那么這個DHCP Server就不能對客戶的要求作相應， 也就是說網絡中加入域的DHCP服務器的優先級比沒有加入域的DHCP服務器要高。 這樣當合法DHCP存在時非授權的就不起任何作用了。

　　授權合法DHCP的過程如下：“開始→程序→管理工具→DHCP”， 選擇DHCP, 用鼠標右鍵單擊選擇“添加服務器”， 然后瀏覽選擇需要認證的服務器。 點“添加”按鈕, 輸入要認證的DHCP服務器IP地址, 完成授權操作。

　　這種方法效果雖然不錯， 但需要域的支持。 要知道對于眾多中小企業來說“域”對他們是大材小用， 基本上使用工作組就足以應對日常的工作了。 所以這個方法是微軟推薦的， 效果也不錯， 但不太適合實際情況。 另外該方法只適用于非授權DHCP服務器是windows系統， 對非Windows的操作系統甚至是NT4這樣的系統都會有一定的問題。