(2)、“揪”出非法的DHCP服务

　　1、DHCP服务器也充当着网关的作用，如果获得了非法网关地址，也就是知道了非法DHCP服务器的IP地址。通过ping (非法的DHCP服务)IP，通过arp -A查出MAC地址。知道了MAC地址，就可以在路由器中屏蔽这个MAC，或者是屏蔽该MAC的68端口。

　　2、如果是设置了无线路由的路由功能，那么通过以上方法查找的只能是无线路由器的LAN的MAC，而在中心路由器A中所能控制的只能是它的WAN端口了。这里提供一个小技巧:一般来讲，无线路由器的LAN端口MAC和WAN端口MAC是连着的，即最后二位数是连着的。如下图所示

　　其实我们在方法1得到的MAC是LAN的，但要在中心路由器A要封掉的MAC应该是WAN MAC了。这样只要在中心路由器A的ARP缓存表找到与LAN MAC最接近的MAC即是了。

　　三、从技术上限制非法DHCP的产生

　　1、通过“域”的方式对非法DHCP服务器进行过滤

　　将合法的DHCP服务器添加到活动目录(Active Directory)中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM查询包， 如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。

　　提醒：这种方法效果虽然不错，但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用，基本上使用工作组就足以应对日常的工作了。所以这个方法，效果也不错，但不太适合实际情况。

　　2、在路由交换设备上封端口

　　DHCP服务主要使用的是UDP的67和68端口，DHCP服务器端应答数据包使用68端口，67端口为客户机发送请求时使用。所以我们可以在路由器上保留服务器的68端口，封闭客户机的68端口，就能达到过滤非法DHCP服务器的目的。

　　提醒：如果计算机很多的话，操作起来不方便，而且会增加路由器的负担，影响到网络速度。

　　凡是提供DHCP服务的服务器都必须设置固定IP地址，想在动态获得IP信息的计算机上启用DHCP服务是不可以的。而且虽然微软公司在限制DHCP服务上做了规定，例如同一个网络中不容许两台DHCP存在。