网安-04-DHCP部署与安全、DNS部署与安全
目录
DHCP部署与安全
1、DHCP作用
(Dynamic Host Configure Protocol)
自动分配IP地址
2、DHCP相关概念
地址池/作用域:(IP,子网掩码,网关,DNS,租期),DHCP 协议端口是 UDP 67,68
3、DHCP优点
减少工作量,避免IP冲突,提高地址利用率
4、DHCP原理
也成为DHCP租约过程,分为4个步骤:
1)发送DHCP Discovery 广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2)响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
3)发送DHCP Request广播包
客户机选择IP(也可认为确认使用哪个IP)
4)服务器发送DHCP ACK 广播包
服务器确定了租约,并提供网卡详细参数IP、掩码,网关、DNS、租期等
5、DHCP续约
50%过后,客户机会再次发送DHCP Request包,进行续约,如果服务器无响应,则继续使用并在87.5%,再次发送DCHP Request包,进行续约,如X任然无响应,并释放IP地址,及重新发送DHCP Discovery 广播包来获取IP地址,当无任何服务器响应是,自动给自己分配一个169.254.x.x/16,全球同意无效地址,用于临时内网通信!
6、部署DHCP服务器
客户机验证:
-
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
-
ipconfig /renew 重新获取IP(有IP时,发送Request续约,无IP时,发送Discovery重新获取)
7、地址保留
对指定的MAC地址,固定动态分配IP地址
8、选项优先级
作用域选项>服务器选项
**当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器
9、DHCP备份
11、DHCP 攻击与防御
1)攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御:在交换机(管理型)端口上做动态MAC地址绑定
2)伪装DHCP 服务器攻击:hack通过将自己部署的DHCP服务器,为客户及提供非法IP
防御:在交换机上(管理型),除合法的DHCP服务器所在的接口外,全部设置为禁止发送DHCP Offer包
DNS部署与安全
1、DNS
Domain Name Service
域名服务
作用:为客户机提供域名解析服务
2、域名组成
如“www.sina.com.cn”是一个域名,从严格意义上来说“sina.com.cn”才被称为域名(全球唯一),而“www”是主机名
“主机名.域 名”称为完全限定域名(FQDN),一个域名下可以有多个主机,域名全球唯一,那么“主机名 .域名”肯定也全球唯一。
-
www.baidu.com.
-
. 为根域
-
.com 为顶级域
-
baidu 为一级域名
-
www 为主机名
-
FQDN=主机名.DNS后缀
-
FQDN(完整合格的域名)
3、监听端口
-
TCP53
-
UDP53
4、DNS解析种类
1、按照查询方式分类:
1)递归查询:客户机与本地DNS服务器之间
2)迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程
2、按照查询内容分类
1)正向解析:已知域名,解析IP地址
2)反向解析:已知IP地址,解析域名
5、DNS服务器搭建过程
-
ipconfig /flushdns #清空本地缓存DNS
-
ipcpnfig /displaydns #查看本地缓存DNS
练习
1、DNS服务器:员工要指向DNS,练习清空DNS服务器,练习nslookup手工解析
2、反向解析
3、辅助DNS服务器:成功更新区域解析记录
4、转发器/根
5(选作)将xp与2003桥接上网,部署2003位DNS服务器,xp指向2003,并能实现xp正常上网
6、别名
6、dns请求顺序
客户机处理dns请求顺序:DNS缓存--本地hosts文件--找本地DNS服务器
服务器处理dns请求顺序:DNS高速缓存--本地区域解析文件--转发器--根
A记录:正向解析记录
CNAME:别名
PTR记录:反向解析记录
MX:邮件交换记录
NS:域名服务器解析
7、DNS服务器分类
主要名称服务器
辅助名称服务器
根名称服务器
高速缓存名称服务器
参考文献: