一、DHCP服务器安全风险

DHCP服务器面临多种安全威胁，包括未授权访问和恶意欺骗攻击。

二、安装与基础配置

sudo apt update
sudo apt install isc-dhcp-server -y

三、安全加固措施

3.1 访问控制

# 限制监听接口
sudo nano /etc/default/isc-dhcp-server
INTERFACESv4="eth0"

3.2 IP地址过滤

# 配置静态分配
host printer {
    hardware ethernet 00:11:22:33:44:55;
    fixed-address 192.168.1.50;
}

四、防范DHCP欺骗

4.1 启用端口安全

# 在交换机上配置
switchport port-security
switchport port-security maximum 1

4.2 DHCP Snooping

# 启用DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 1

五、日志与监控

5.1 配置日志

# 编辑日志配置
sudo nano /etc/rsyslog.d/dhcp.conf

# 添加日志记录
local7.* /var/log/dhcpd.log

5.2 监控工具

# 查看租约
dhcpd-pools -c /etc/dhcp/dhcpd.conf -l /var/lib/dhcp/dhcpd.leases

六、防火墙配置

# 配置防火墙规则
sudo ufw allow 67/udp
sudo ufw allow 68/udp

七、常见问题

Q1：如何检测DHCP攻击？

监控日志和租约分配异常。

Q2：如何防止IP耗尽？

设置合理的地址池和租约时间。

八、总结

通过合理的安全配置，可以有效保护DHCP服务器。

注：本文基于2026年Debian 12编写