DHCP部署与安全
DHCP作用
自动分配IP地址
DHCP相关概念
DHCP(Dynamic Host Configuration Protocol)动态主机配置协议
地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP 协议端口是UDP 67/68
DHCP优点
渐少工作量、避免IP冲突、提高地址利用率
DHCP原理
也称为DHCP租约过程,分为四个步骤:
1)发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2)响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
3)发送DHCP Request广播包
客户机选择IP(也可以认为确认使用哪个IP)
4)发送DHCO ACK广播包
服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
DHCP续约
当50%过后,客户机 会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用并在87.5%再次DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址,当无任何服务器响应时,自动给自己分配一个169.254.x.x/16,属于全球统一无效地址,用于临时内网通信。
ps:DHCP续约时间的计算:
如果在地址池中任何一个IP 的租约仅为1小时,那么A在1.00时刻得到了DHCP服务,而在1.30时刻,A发起续约请求并成功续约,此时A的到期时间变为2.30而非2.00
部署DHCP服务器
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户机验证:
验证可用的cmd命令:
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /renew 重新获取IP (有IP时,发送Request续约。无IP时发送Discovery重新获取IP)
地址保留
针对指定的MAC 地址,固定动态分配IP地址
选项优先级
作用域选项>服务器选项
当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器,也可以在作用域选项上设置
DHCP攻击与防御
1)攻击DHCP服务器:频繁 的发送伪装DHCP请求,直到将DHCP地址池耗尽
防御:在交换机上(管理型)的端口上做动态MAC 地址绑定
2)伪装DHCP服务器攻击:黑客通过将自己部署为DHCP服务器,为客户机提供非法地址(无法上网的)
防御:在交换机上,除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP offer包