思科认证学习资料

教你防范新型僵尸网络攻击 僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段，将僵尸程序感染给大量主机，从而在控制者和被感染主机之间形成的一个可一对多控制的网络。这些被感染主机深陷其中的时候，又将成为散播病毒和非法侵害的重要途径。如果僵尸网络深入到公司网络或者非法访问机密数据，它们也将对企业造成最严重的危害。 　　一、僵尸网络的准确定义 僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络，它并不是物理意义上具有拓扑结构的网络，它具有一定的分布性，随着 bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。根据最近的一份调查，网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。感染之后，这些主机就无法摆脱bot所有者的控制。 僵尸网络的规模是大还是小，取决于bot程序所感染主机的多寡和僵尸网络的成熟度。通常，一个大型僵尸网络拥有1万个独立主机，而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet Relay Chat)被遥控指挥。 由于Bot程序混合了很多恶意软件技术，准确的描述什么叫bot程序以及bot程序的成熟度是很难的。僵尸网络攻击所采用的技术横跨了传统和新兴的界限，它们常采取的攻击有如下一些： 　　分布式拒绝服务攻击(DDoS)攻击 一般来说，僵尸网络被用来发动DDoS攻击，DDoS攻击的是电脑系统或是可能导致服务中断的网络，最典型的就是通过消耗受害者的网络带宽或是加载过多的计算资源来使系统崩溃。除此之外，由于DDoS攻击导致每秒发送过多的信息包数量，就会将系统的带宽消耗殆尽。到目前未知，我们所的所有的僵尸计算机都极有可能对其它主机发动DDoS攻击。最常用的方式就是TCP SYN和UDPab(User Datagram Protocol, 用户数据报)洪水攻击方式。脚本将DDoS是为一种解决一切社会问的方法。 更进一步的研究表明，僵尸网路甚至会被别有用心者用来发动对竞争对手的DDoS攻击。Operation Cyberslam记录了Jay R. Echouafni 和 Joshua Schichtel(他化名为EMP)的事件。Echouafni在2004年8月25号被控多重罪名导致受保护的计算机受到威胁。他与EMP合作操控一个僵尸网络发送大量的垃圾邮件，并且对垃圾邮件黑名单服务器发动DDoS攻击使之瘫痪。此外，他们针对全球最大的网上计算平台Speedera的DDoS攻击使得这一站点罢工，而这样做的目的只不过是为了打垮一个竞争对手的网站而已。 由于DDoS并不局限于网站服务器，实际上，一切形式的英特网的服务都会沦为他们攻击的对象。通过使用特定形式的攻击，高层次的网络协议可以备用做增加网络负载量的有效工具，譬如说在受害者的网络里的BBS上或是递归HTTP溢出运行无数的搜索请求。所谓递归HTTP溢出是指僵尸计算机的威胁从给定的一个HTTP链接上指向所有网站上的链接，以一种递归的方式出现。这也叫做蜘蛛网般的攻击。 　　间谍和恶意软件 僵尸网络比如臭名昭著的Zombies，通常都会在用户不知情的情形下受利益驱动而监视并报告用户的上网行为。它们也会安装一些工具来收集用户的键盘记录和系统漏洞等信息，并将这些信息兜售给第三方。 　　身份盗窃 僵尸网络还会经常部署一些盗窃用户身份信息、财务信息或者用户电脑上的密码等信息的工具，然后将这些数据出卖或者直接利用获取利润。 　　恶意广告软件 Zombies也会根据用户上网习惯自动下载、安装和弹出一些恶意广告，或者强迫用户通过某些网站浏览一些广告。 　　垃圾邮件 当今的大部分垃圾邮件是由僵尸网络Zombies散发形成的。 　　网络钓鱼 Zombies可以扫描并确定哪些是有漏洞可以被用来攻击的服务器，通常这些服务器都是合法的而且具有重要机密数据(比如PayPal或者银行站点服务器)，然后窃取服务器上的密码和其他机密数据。 恶意bot程序一直以来都在通过更加隐蔽更加狡猾的方式来感染互联网上的主机。在2007年，僵尸网络成为散发垃圾邮件和发动钓鱼攻击的主要方式。在2008年，僵尸网络所发送的垃圾邮件占整个垃圾邮件数量的90%。而在2009年，垃圾邮件则直接通过P2P方式四处传播。 二、新型僵尸网络的特点 2009年，一些主要的僵尸网络在互联网上都变得更加令人难以琢磨，以更加不可预测的新特点来威胁网络安全。僵尸网络操纵地点也比以前分布更广。它们采用新技术提高僵尸网络的的运行效率和灵活机动性。很多合法网站被僵尸网络侵害，从而影响到一些企业的核心竞争力。 最新型的僵尸网络攻击往往采用hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。 hypervisor可以分别控制不同主机上的处理器和系统资源。而每个操作系统都会显示主机的处理器和系统资源，但是却并不会显示主机是否被恶意服务器或者其他主机所控制。 僵尸网络攻击所采用的另外一种技术就是Fast Flux domains。这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。这种技术利用了一种新的思想：被攻陷的计算机仅仅被用来当作前线的代理，而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址，真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分，一些公司为了负载平衡和适应性，会动态地改变域名所对应的IP地址，攻击者借用该技术，也会动态地修改Fast-Flux网络的IP地址。 　　而最为众人所知的技术莫过于P2P了。比如，Nugache僵尸网络就是通过广泛使用的IM工具点对点来实现扩充，然后使用加密代码来遥控指挥被感染主机。那也就意味着这种方式更加令人难以探测到。而且僵尸网络也比较倾向使用P2P文件共享来消除自己的踪迹。 无论是使用Fast Flux、P2P还是hypervisor技术，僵尸网络所使用的攻击类型都比以前变得更加复杂多样。显然，僵尸网络威胁一直在不断地增长，而且所使用的攻击技术越来越先进。这就需要我们使用更加强大的安全防护工具来保护个人和公司网络的安全。 　　三、僵尸网络的危害 随着僵尸网络的不断渗透和扩散，公司必须比以往更加重视和了解边界安全。为此，公司不仅需要了解僵尸网络的功能和运行机制，也需要了解它们所带来的安全威胁。 对僵尸网络非法入侵做出快速有效的响应，对企业来说可能是一项最为紧迫的挑战。不幸的是，光靠利用基于签名的技术来消除这些安全威胁是远远不够的。使用这种技术往往会花费数小时甚至是数天时间，才能检测到僵尸网络并对其做出响应。僵尸网络最容易吸引各类高科技网络犯罪分子，他们可以借助僵尸网络的温床酝酿和实施各种网络攻击和其他非法活动。 僵尸网络的所有者会利用僵尸网络的影响力对企业展开有针对性的攻击。除了分布式垃圾邮件和攻击电子邮件数据库之外，他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢利用窃取企业财务信息或者商业机密，进而对企业进行敲诈勒索和追逐其他利益活动。另外，他们还可以利用企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业已经成为僵尸网络重点攻击的受害群体之一的重要原因。 当僵尸网络获得访问公司网络的权限之后，它们就可以肆意捕捉和偷窃公司客户的银行卡、交易和其他重要数据。这样一来，不仅严重危害了客户的私人利益，也损害了公司的宝贵资源和企业形象，从而对企业造成致命创伤。 　　欺诈和品牌破坏 网上交易常常伴随着欺诈而出现，因为网上交易通常都要提交个人敏感数据。一个策划周全制作精良的在线欺诈活动可以对企业和客户都造成重大损失。另外，也会间接影响消费者对品牌的认可和忠诚度，他们会质疑网上交易的完整性和安全性。 2009年2月，国外一家国家银行的客户发现他们的账户已经被冻结。银行方面认为客户在线交易弄虚作假，伪造发件人地址和超级链接。而客户访问银行网站时则被引导至一个看起来独一无二，完全和真实网站一样的欺诈网站，在网上交易过程中他们按照平常那样提交个人私密信息。最后，银行不仅蒙受了巨额损失，而且也影响到了客户对银行的信任。可想而知，银行要想留住这些客户只能通过更大力气和营销促销手段才能实现。 　　从品牌的破坏行为可以看出，网络欺诈已经足够让企业董事会加以重视了。据最近一项研究，63.9%的市场销售官员认为，安全漏洞会严重影响公司品牌形象。 　　但是品牌受损并不是特别值得关注的唯一问题，以下问题同样值得我们关注： 　　网络欺诈引起的客户流失 　　在线银行容易暴露机密数据的风险 　　安全漏洞和网络欺诈所导致的潜在危害 如何防范最新网络威胁 四、如何防范新型僵尸网络攻击 　　 1、保持警惕 这项建议看起来似乎无关紧要。不过，虽然经常告诫IT管理员注意安全防范，但是他们却从未看过系统日志，他们也不会告诉你有谁在链接网络，甚至不知道有哪些设备链接到了网络。 　　2、提高用户意识 个人用户具备更多的安全意识和基本知识，非常有利于减少各类安全事件的威胁。个人用户防范Bot与防范蠕虫、木马完全没有区别。目前已经发现的绝大多数Bot针对Windows操作系统。对个人Windows用户而言，如果能做到自动升级、设置复杂口令、不运行可疑邮件就很难感染Bot、蠕虫和木马。90%以上的恶意代码利用几周或几个月之前就公布了补丁的漏洞传播，及时升级系统可以避免多数恶意代码的侵袭。 　　3、监测端口 　　两方面的建议： 　　即使是最新bot程序通信，它们也是需要通过端口来实现的。绝大部分的bot仍然使用IRC(端口6667)和其他大号端口(比如31337和 54321)。1024以上的所有端口应设置为阻止bot 进入，除非你所在组织给定某个端口有特殊应用需要。即便如此，你也可以对开放的端口制定通信政策“只在办公时间开放”或者“拒绝所有访问，除了以下IP地址列表”。 Web通信常需要使用80或者7这样的端口。而僵尸网络也常常是在凌晨1点到5点之间进行升级，因为这个时候升级较少被人发现。养成在早晨查看系统日志的好习惯。如果你发现没有人但却有网页浏览活动，你就应该警惕并进行调查。 　　4、禁用JavaScript 当一个bot感染主机的时候，往往基于web利用漏洞执行JavaScript来实现。设置浏览器在执行JavaScript之前进行提示，有助于最大化地减少因JavaScript而感染bot的机会。我们建议用户使用Firefox当主浏览器来使用，当有脚本试图执行时可以使用NoScrip plug-in39。 　　5、多层面防御 纵深防御很有效。如果我仅有能过滤50%有害信息的单个防御工具，那么效果可能只有50%;但如果我有2种不同的防御工具，每个都50%的话，我就可以得到75%的防御效果(第一个防御工具可以过滤50%，剩下50……;第二个防御工具可以过滤剩下的50%的一半，剩下25%)。如果我有5个防御工具每个都是50%效果的话，我将获得将近97%的效果。如果要获得99%的理想状态，我们需要4个防御工具分别达到70%效果的才能实现。 　　6、安全评估 　　一些著名厂商都会提供免费的安全评估工具和先进安全产品免费试用。在评估和试用结束的时候，他们都会报告你公司所面临的不同类型的安全风险和安全漏洞。这有助于让你评估当前的安全解决是否有效，并且告诉你接下来该采取怎样的安全措施。 教你配置多台三层交换VLAN间相互通信 通过在SW100 来创建VLAN 100 ,sw2 上创建VLAN 200，因为VLAN100和VLAN200因为业务上的关系，需要两台PC之间相互通信，保证不同VLAN之间可以互相访问。 本实验将给您详细阐述实现方法，将用到诸多交换知识点。 　　本实验需求： 　　通过在SW100 来创建VLAN 100 ,sw2 上创建VLAN 200，因为VLAN100和VLAN200因为业务上的关系，需要两台PC之间相互通信，保证不同VLAN之间可以互相访问。 本实验将给您详细阐述实现方法，将用到诸多交换知识点。 　　实验过程第一步SW100基础配置SW100> 　　SW100>enable 　　SW100#conf t 　　Enter configuration commands, one per line. End with CNTL/Z. 　　SW100(config)#no ip do lo 　　SW100(config)#line con 0 　　SW100(config-line)#no exec-t 　　SW100(config-line)#logg syn 　　SW100(config-line)#exit 　　SW100(config)#username admin privilege 15 password admin 　　SW100(config)#line vty 0 15 　　SW100(config-line)#login local 　　SW100(config-line)#int f0/24 　　//配置把二层接口更改为三层接口 　　SW100(config-if)#no switchport 　　SW100(config-if)#ip add 12.0.0.1 255.255.255.0 00:02:57: %LINK-3-UPDOWN: Interface FastEthernet0/24, changed state to up 00:02:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up SW100(config-if)#no sh 　　第二步SW200基础配置Switch>enable 　　Switch#conf t 　　Enter configuration commands, one per line. End with CNTL/Z. 　　Switch(config)#host SW200 　　SW200(config)#no ip do lo 　　SW200(config)#line con 0 　　SW200(config-line)#no exec-t 　　SW200(config-line)#logg syn 　　SW200(config-line)#exit 　　SW200(config)#username admin privilege 15 password admin 　　SW200(config)#line vty 0 15 　　SW200(config-line)#login local 　　SW200(config-line)#int f0/24 　　//把二层端口改变成三层接口 　　SW200(config-if)#no switchport 　　SW200(config-if)#ip add 12.0.0.2 255.2 00:03:40: %LINK-3-UPDOWN: Interface FastEthernet0/24, changed state to up 00:03:41: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up SW200(config-if)#ip add 12.0.0.2 255.255.255.0 　　SW200(config-if)#no sh SW200(config-if)#exit 第三步完整SW1上VLAN配置//创建VLAN 100 　　SW100(config)#vlan 100 　　//给VLAN命名为100 　　SW100(config-vlan)#name 100 　　//进入f0/13接口模式下，把f0/13接口划分到VLAN100 　　SW100(config-vlan)#int f0/13 　　SW100(config-if)#switchport mode access 　　SW100(config-if)#switchport access vlan 100 　　SW100(config-if)#exit 　　SW100(config)#int f0/13 　　//因为此接口连接的终端设备，故可以关闭生成树的选举，开启快速端口特性 　　SW100(config-if)#spanning-tree portfast 　　%Warning: portfast should only be enabled on ports connected to a single 　　host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. 　　Use with CAUTION 　　%Portfast has been configured on FastEthernet0/15 but will only 　　have effect when the interface is in a non-trunking mode. 　　SW100(config-if)#exit 　　00:05:40: %SYS-5-CONFIG_I: Configured from console by console 　　//查看VLAN信息 　　SW100#show vlan brief 　　VLAN Name Status Ports 　　1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/23, Gi0/1, Gi0/2 　　100 100 active Fa0/13 　　1002 fddi-default act/unsup 　　1003 token-ring-default act/unsup 　　1004 fddinet-default act/unsup 1005 trnet-default act/unsup 　　第四步完成SW200上VLAN配置SW200(config)#vlan 200 　　SW200(config-vlan)#name 200 　　SW200(config-vlan)#int f0/15 　　SW200(config-if)#switchport mode access 　　SW200(config-if)#switchport access vlan 200 　　SW200(config-if)#exit SW200(config)#int f0/15 　　SW200(config-if)#spanning-tree portfast 　　%Warning: portfast should only be enabled on ports connected to a single 　　host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. 　　Use with CAUTION 　　%Portfast has been configured on FastEthernet0/15 but will only 　　have effect when the interface is in a non-trunking mode. 　　SW100#show vlan brief 　　VLAN Name Status Ports 　　---- -------------------------------- --------- ------------------------------- 　　1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/23, Gi0/1, Gi0/2 　　200 200 active Fa0/15 　　1002 fddi-default act/unsup 　　1003 token-ring-default act/unsup 　　1004 fddinet-default act/unsup 1005 trnet-default act/unsup 　　第五步 在SW100上创建SVI（交换虚拟接口），并给SW100所连接PC配置IP地址为192.168.0.100，网关192.168.0.1（PC配置IP地址，网关，实验手册内容略过） SW100#conf t Enter configuration commands, one per line. End with CNTL/Z. 　　//进入VLAN 100 　　SW100(config)#int vlan 100 　　//配置VLAN100，IP地址，这里的IP地址，就是F0/13接口下PC所指的网关地址SW100(config-if)#ip add 192.168.0.1 255.255.255.0 　　SW100(config-if)#no sh 　　SW100(config-if)#end 　　00:06:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up 　　//从SW100上测试可以ping通本VLAN下PC 　　SW100#ping 192.168.0.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.100, timeout is 2 seconds: !!!!!第六步 在SW200上创建SVI（交换机虚拟接口），并给SW200所连接PC配置IP地址为172.16.0.100，网关172.16.0.1（PC配置IP地址，实验手册内容略过） SW200(config-if)#exit 　　SW200(config)#int vlan 200 　　SW200(config-if)#ip add 172.16.0.1 255.255.255.0 00:04:41: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up 　　SW200(config-if)#no sh SW200(config-if)#end 　　00:04:52: %SYS-5-CONFIG_I: Configured from console by console SW200#ping 172.16.0.200 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.200, timeout is 2 seconds: !!!!! 　　第七步 在SW100 上开启路由功能，并运行动态路由协议 SW100#conf t Enter configuration commands, one per line. End with CNTL/Z. //开启三层交换路由功能，默认是关闭的 　　SW100(config)#ip routing 　　SW100(config)#router ospf 100 　　SW100(config-router)#net 12.0.0.1 0.0.0.255 a 0 SW100(config-router)#net 192.168.0.1 0.0.0.255 a 0 　　SW100(config-router)#end 　　SW100# 　　00:08:11: %SYS-5-CONFIG_I: Configured from console by console 　　SW100#show ip route 　　Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route 　　Gateway of last resort is not set 　　172.16.0.0/24 is subnetted, 1 subnets C 172.16.0.0 is directly connected, Vlan100 O 172.16.0.0/24 [110/2] via 12.0.0.2, 00:00:02, FastEthernet0/24 12.0.0.0/24 is subnetted, 1 subnets C 12.0.0.0 is directly connected, FastEthernet0/24第八步 在SW200 上开启路由功能，并运行动态路由协议 SW200#conf t Enter configuration commands, one per line. End with CNTL/Z. //注意：如果没有开启路由功能，直接运行路由协议，将提示如下的错误信息 　　SW200(config)#router ospf 200 　　IP routing not enabled 　　SW200(config)#ip routing 　　SW200(config)#router ospf 200 　　SW200(config-router)#net 12.0.0.2 0.0.0.255 a 0 SW200(config-router)#net 172.16.0.2 0.0.0.255 a 0 　　SW200(config-router)#end 　　00:05:27: %OSPF-5-ADJCHG: Process 200, Nbr 192.168.0.1 on FastEthernet0/24 from LOADING to FULL, Loading Done //查看路由表，观察通过OSPF学习到路由条目 　　SW200#show ip ro 　　00:05:33: %SYS-5-CONFIG_I: Configured from console by console 　　SW200#show ip route 　　Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route 　　Gateway of last resort is not set 　　172.16.0.0/24 is subnetted, 1 subnets C 172.16.0.0 is directly connected, Vlan200 O 192.168.0.0/24 [110/2] via 12.0.0.1, 00:00:02, FastEthernet0/24 12.0.0.0/24 is subnetted, 1 subnets C 12.0.0.0 is directly connected, FastEthernet0/24 　　//测试IP连通性 　　SW200#ping 12.0.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 12.0.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms SW200#ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms SW200#ping 192.168.0.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms SW200# 　　第九步 在PC2 用ping命令测试到PC1，测试vlan200是否可以和VLAN 100 PING通，测试结果全网ping 通，实验现象成功（因为PC2是windows 7 简体中文版本，故ping结果是中文方式显示的） 测试步骤：开始-运行-cmd 教你如何用宽带路由器实现DHCP功能 DHCP功能在很多地方都有所体现。那么我们常规地，会通过交换机以及路由器来进行DHCP服务器的架设。那么现在，我们就针对宽带路由器的DHCP功能内容来进行一下讲解。TCP/IP大家都非常清楚,在一个使用协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。在TCP/IP网络上，每台工作站要能与其他计算机进行互联，都必须进行基本的网络配置，除了IP地址还有子网掩码、缺省网关、DNS等。对于小型网络，为每台计算机一一配置这样的属性也许还可以承受，但对于一个规模比较大的网络来说,为每台计算机做这样同样的工作不但非常繁琐,而且也存在着IP地址不用分配的情况。 DHCP的产生很好的解决了上述问题。DHCP就是动态主机配置协议（Dynamic Host Configuration Protocol），它的目的就是为了减轻TCP/IP网络的规划、管理和维护的负担，解决IP地址空间缺乏问题。这种网络服务有利于对网络中的客户机IP地址进行有效管理。DHCP功能分为两个部份:一个是服务器端，而另一个是客户端（客户端不用安装，windows 9x/2000/xp 在默认情况下都启动DHCP Client服务）。DHCP透过“租约”的概念，有效且动态的分配客户端的TCP/IP设定。下面我们将说明一下DHCP的IP地址的分配方式，并结合TP-LINK的宽带路由器TL-R410具体说明DHCP服务器的功能。 　　DHCP功能的IP分配方式 DHCP服务器具有三种IP的分配方式，手动分配，自动分配和动态分配。其中动态分配功能最为强大，配置也最为烦琐。目前的DHCP服务器一般支持全部的几种分配方式或者是其中的两种。 手动分配：在手动分配中，网络管理员在DHCP服务器通过手工方法配置DHCP客户机的IP地址。当DHCP客户机要求网络服务时，DHCP服务器把手工配置的IP地址传递给DHCP客户机。 自动分配：在自动分配中，不需要进行任何的IP地址手工分配。当DHCP客户机第一次向DHCP服务器租用到IP地址后，这个地址就永久地分配给了该DHCP客户机，而不会再分配给其他客户机。 动态分配：当DHCP客户机向DHCP服务器租用IP地址时，DHCP服务器只是暂时分配给客户机一个IP地址。只要租约到期，这个地址就会还给DHCP服务器，以供其他客户机使用。如果DHCP客户机仍需要一个IP地址来完成工作，则可以再要求另外一个IP地址。 动态分配方法是惟一能够自动重复使用IP地址的方法，它对于暂时连接到网上的DHCP客户机来说尤其方便，对于永久性与网络连接的新主机来说也是分配IP地址的好方法。DHCP客户机在不再需要时才放弃IP地址，如DHCP客户机要正常关闭时，它可以把IP地址释放给DHCP服务器，然后DHCP服务器就可以把该IP地址分配给申请IP地址的DHCP客户机。 使用动态分配方法可以解决IP地址不够用的困扰，例如C类网络只能支持254台主机，而网络上的主机有三百多台，但如果网上同一时间最多有200个用户，此时如果使用手工分配或自动分配将不能解决这一问题。而动态分配方式的IP地址并不固定分配给某一客户机，只要有空闲的IP地址，DHCP服务器就可以将它分配给要求地址的客户机；当客户机不再需要IP地址时，就由DHCP服务器重新收回。 　　如何设置DHCP服务器 　　目前很多的宽带路由器都具有设置DHCP服务器的功能，TP-LINK推出的TL-410是一款面向家庭用户的宽带路由器,其外观小巧,时尚。而且价格便宜，非常适合家庭用户学生一族的使用。TL-R410宽带路由器也具有支持DHCP服务器的功能，具有手动分配（静态IP地址分配）和动态分配两种分配方式。下面我们就简单介绍一下，如何利用TP-link的TL-R410宽带路由器为例，设置DHCP服务器的功能。 首先进入路由器的设置界面，选择DHCP服务器，可以看到有三个子文件，DHCP功能、客户端列表和静态地址分配。选择DHCP服务，将进入如下的设置画面 首先选择启用DHCP服务器，这样就可以利用自动分配地址功能。地址池开始地址：DHCP服务器所自动分配的IP的起始地址。地址池结束地址：DHCP服务器所自动分配的IP的结束地址。网关：可选项，建议填入路由器LAN口的IP地址，缺省是192.168.1.1。缺省域名：可选项，填入本地网域名。主DNS服务器：可选项，填入ISP提供给您的DNS服务器，不清楚可以向ISP询问。备用DNS服务器：可选项，如果ISP提供给您了两个DNS服务器，则您可以把另一个DNS服务器的IP地址填于此处。 注意：为了使用该路由器的DHCP服务器功能，局域网中各计算机的TCP/IP协议必须设置为“自动获得IP地址”。此功能需要重启路由器才能生效。 　　选择客户端的列表就可以看到本地局域网中通过该路由器连接到因特网的客户端主机的信息，包括客户端主机名，客户端的MAC地址，已经分配的IP地址和剩余的租期。从上图中我们可以看出通过该路由器的有三台主机连接到因特网。 租期是一个重要的概念，当客户机采用动态地址分配时，DHCP服务器会动态地给客户机分配IP地址，但分配的IP地址并不是一直给某个客户机使用的，当DHCP服务器分配给客户机IP地址时，同时会通知客户机可以使用此地址的期限(即租期),到期限后如果客户机没有申请延长租期，那么DHCP服务器就会收回此IP地址，而剩余租期就是DHCP服务器将要收回IP地址的剩余时间。因此，客户机会在租期未到前(比如还剩一半时)向CHCP服务器申请延长租期，当然，当客户机不在使用此IP时会通知DHCP服务器收回此IP，以后这个IP就可以分配给其他客户机使用了。 利用TL-R410还可以设置DHCP服务器的静态地址分配功能。选择静态地址分配就出现如下的设置画面。 　　如上图所显示，知道主机的MAC地址，静态的分配IP地址给主机就可以。这样路由器的DHCP服务器功能就完全设置好了。在网络中的每台主机，只需要在TCP/IP协议选项中设置为“自动获得IP地址”，此功能需要重启路由器才能生效。免去每台主机都要要进行烦琐的TCP/IP协议设置的麻烦。 教你如何用命令行设置DHCP   　　导读：在一些设置中，我们可以不拘泥一种方式。这里我们讲解一下用命令行来设置DHCP的有关内容。一台windows 2000 server,单机环境，安装了dhcp服务,让我们用命令行的方式来配置一台DHCP服务器吧。 　 　　1、首先进入命令行dhcp配置模式 　　1.F:\>netsh 　　2.netsh>dhcp 　　3.dhcp>server 192.168.0.1 //192.168.0.1是你需要管理的DHCP服务器的地址 　　4.dhcp server> 　　2、 　　1.dhcp server>show scope 　　作用域总的数目: 0 　　命令成功完成。察看目标上作用域配置的情况,此时是没有scope的。 　　3、用命令行添加一个scope 　　1.dhcp server>add scope 192.168.0.0 255.255.255.0 192.168.0.0 MyComment 　　好的，我们在mmc中察看dhcp，看出现了什么变化，好大一个蓝色的感叹号的scope，里面什么配置都没有别慌我们继续下去（当时，我就是乱慌了半天，浪费时间） 　　4、 　　1.dhcp server>scope 192.168.0.1 　　将当前作用域上下文改变到 192.168.0.1 作用域。 　　5、 　　1.dhcp server scope>add iprange 192.168.0.2 192.168.0.254 DHCP 　　用命令行添加一个分配地址范围 　　6、 　　1.dhcp server scope>add excluderange 192.168.0.1 192.168.0.1 　　2. 　　3.dhcp server scope>add excluderange 192.168.0.241 192.168.0.254 　　添加两个排除范围192.168.0.1，192.168.0.241-192.168.0.254 　　7、 　　1.dhcp server scope>add reservedip 192.168.0.240 08002b30369B Mr.Wu Mr.wu both 　　添加一个保留ip,给了MAC 08002b30369B ，保留的名字称为Mr.Wu 　　8、 　　1.dhcp server scope>set optionvalue 003 ipaddress 192.168.0.1 　　2. 　　3.dhcp server scope>set optionvalue 006 ipaddress 192.168.0.1 　　在这个scope中添加两个作用域选项003和006 　　9、dhcp server scope>set reservedoptionvalue 192.168.0.240 003 ipaddress 192.168.0.1 　　设置保留地址192.168.0.240的作用域选项003 　　现在scope 192.168.0.0配置结束了，你也可以配置别的选择的项目，看你的需要了 　　此时在mmc中把scope 192.168.0.0刷新一下，一切都正常了 　　10、同样方法配置两个scope 192.168.1.0和192.168.2.0 　　11、用命令行配置superscope 　　1.F:\>netsh 　　2.netsh>dhcp 　　3.dhcp>server 192.168.0.1 　　4.dhcp server>scopt 192.168.0.0 　　5.dhcp server scope>set superscope 192.168.0-192.168.2 1 　　6. 　　7.F:\>netsh 　　8.netsh>dhcp 　　9.dhcp>server 192.168.0.1 　　10.dhcp server>scopt 192.168.1.0 　　11.dhcp server scope>set superscope 192.168.0-192.168.2 1 　　刷新DHCP服务器，看看多了些什么东西 　　12、添加class 　　1.dhcp server>add class workgroup1 workgroup1 ClassForWorkgroup1 0这样就添加了一个用户class 　　13、添加，配置多播作用域 　　1.dhcp server>add mscope 224.0.0.0 mscope 40 　　2.dhcp server>mscope 224.0.0.0 　　3.dhcp server mscope>add iprange 224.0.0.1 224.0.0.10 　　4.dhcp server mscope>add excluderange 224.0.0.1 224.0.0.1 　　14、dump的问题 　　1.netsh dhcp server 192.168.0.1 dump >>e:\101.txt 教你如何增强无线网络信号    　　现在，利用无线路由器和无线网卡来组建局域网的家庭已不在少数，但是，利用无线路由组建的网络，其数据传输率受到信号强度的影响很大，在信号不够强的时候，无线网络的数据传输率往往非常慢，甚至会出现无法建立连接的现象。 在实际使用的时候，我们也常常发现无线信号的覆盖范围并不如产品说明上的那样好，不免令人失望。因为在实际使用的时候，信号会受到环境等一些客观因素的影响而出现衰减，这是无法避免的。当然，对于信号的衰减，我们也并不是束手无策，在使用的时候，可以通过一些技巧，尽量将信号衰减降到最低。 　　一、合理摆放无线路由器的位置 　　由于无线信号在穿越障碍物后，尤其是在穿越金属后，信号会大幅衰减。而在我们家庭的房子里，有很多钢筋混凝土墙，所以我们在摆放无线路由器的时候，应该使信号尽量少穿越墙壁。 　　以下图所示的家庭结构为例，我们一般很少会在厨房或餐厅里上网，而书房和卧室是我们平时经常上网的地方，所以我们在选择无线路由器的摆放位置的时候，可以选择离厨房和餐厅远一些地方，而尽量靠近书房和卧室。 如图所示，书房外墙处是摆放无线路由器的理想位置，这样摆放能够使客厅，书房，主卧，次卧都有一个比较好无线信号。当然，不同家庭结构都不一样，大家应该视具体情况而定。一般来说，无线网卡的客户端都具备信号强度的检测能力，大家拿笔记本在房间各处查看信号强度，从而选择一个最佳的摆放点。另外也可以安装Network Stumbler软件来检测信号的强度。 　　二、修改信号频道减少干扰 　　我们在无线路由器的配置界面里，会看到无线信道的选项。一般来说，54M的无线信道有11个，依次是信道1到信道11。当有多个无线信号在使用同一个无线信号频道的话，就会出现信号干扰。 　　很多用户在购买无线路由器使用后，并未对无线信号频道能进行修改，这样大家使用的都是路由器默认配置时的信道，这样就很容易发生信道的干扰。如果附近有邻居使用的信道跟我们的一样，那么，我们双方的无线信号都会受到影响。 　　我们同样可以使用Network Stumbler软件来进行扫描，看看附近都存在哪些无线信号，使用的是哪个信道。然后对我们自己的无线信道进行修改，避免与其他信道重复。 　　另外大家要注意的是，一个频道的信号会同时干扰与其相邻的两个频道，即频道6的信号会影响到频道5和频道7，所以我们在设置无线信道的时候，应该尽量使自己的信道离其他信号频道两个以上。 　　另外，很多家电用品在工作的时候也会对无线网络造成电磁干扰，所以无线路由器的摆放也应该尽量远离这些家电。 　　由于天线增益的大小直接影响到信号的发射强度和接收能力，而市场上有些路由器的天线采用的是可拆卸设计，所以给无线路由器更换一个高增益的天线是增强信号最直接的方法。增益天线市场上有很多，价格也便宜。不过一点值得注意的是，在购买的时候应该询问清楚是否是全向天线，否则使用定向天线只能向一个方向传输无线信号。 另外我们也可以对无线网卡的天线进行扩展，不过无线网卡的天线一般不可拆卸，更换起来也比较麻烦。其实生活中的很多小物品，都可以起到增强无线网络信号的作用。网络上也有很多DIY无线网络增益天线的方法，如使用奶粉罐，蚊香盘，漏勺等，有兴趣的网友不妨一试。 　　总结： 　　文中提到的这些技巧，能够在一定程度上改善信号强度，不过，路由器本身的实际发射功率才是最关键的。当然读者完全不必担心购买无线路由器后在家里不好用。现在家用的主流无线路由器其标准速率为54Mbps，而我们家中的宽带接入如果是ADSL一般为2M，而小区宽带其共享带宽一般为10M，即使是信号强度未能达到100%，其传输速率也能够满足一般家庭用户的上网需求了。 教你三招让无线网络避免被“蹭” 　　首先，要确定自己有没有被蹭网，可以在无线路由器管理界面中查看本地网络连接(lan),如果显示出的电脑网卡物理地址和自己的不同，那就说明被人蹭网了，可以通过以下方式来防止。 　　第一，设置密码，使用安全程度高的加密方式，并且密码长度不要少于16个字符，提高难度。 第二，启用网卡物理地址过滤功能，每块网卡的物理地址都是唯一的，设定你的无线网络只接受来自本机地址的信号，即可防止其他机器蹭网。 　　第三，限制允许分配的IP末段数量，如果自己只有两台电脑，那么可将IP地址末段的允许范围设为100-101，这样只要自己的两台电脑在线，其他电脑无论如何不可能“挤”进你的无线网络。 上学吧为您提供思科认证考试资料下载：http://www.shangxueba.com/share/e50.html