DHCP部署基础

DHCP概念

---

 

DHCP即动态主机配置协议（Dynamic Host Configuration Protocol），用于内网自动分配ip地址

DHCP中将ip、子网掩码、网关、DNS、租期的集合称为地址池或作用域

DHCP协议端口有两个，分别为UDP 67（服务器）和68（客户端） 

 

DHCP作用原理

---

DHCP作用过程主要分为四个部分

（1）DHCP Discovery 

 由客户机向外广播，向所有服务器请求地址（包含客户机MAC地址）

（2）DHCP Offer

由服务器响应客户机的请求并提供IP地址(该阶段仅提供ip地址)

（3）DHCP Request

客户机选择一个服务器提供的ip地址（一般为最先到达客户机的ip地址）

（4）DHCP ACK

客户机与服务器确定租约后，由服务器将详细参数提供给客户机

 

DHCP续约原理

---

 

客户机会在租期过去50%的时候，直接向为其提供IP地址的DHCP服务器发送DHCP request消息包。如果客户机接收到该服务器回应，客户端就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数，更新自己的配置，如果没有收到该服务器的回复，则客户端继续使用现有的IP地址

如果在租期过去50%的时候没有收到服务器回应，则客户端将在租期过去87.5%的时候再次向为其提供IP地址的服务器联系。如果还不成功，当租约到达100%时候，客户端将放弃这个IP地址，重新申请。

当无任何服务器回应，客户机会自动分配169.254.0.0/16中随机的一个地址，并且每隔5分钟再进行尝试

（人多的时候网卡的原因？）

 

DHCP的部署

---

一、主要步骤

（1）设置静态IP地址

（2）安装启用DHCP服务（通过netstat -an命令可查询开放的端口，验证67，68端口是否开放）

（3）建立作用域及作用域选项

（4）验证

（5） 客户机验证（ipconfig /release 释放IP   ipconfig /renew 重新获取IP，有IP时则续约）

二、地址保留

可通过绑定将MAC地址与IP地址绑定达到固定分配IP的作用

 三、选项优先级

作用域选项优先级>服务器选项优先级（当服务器有多个作用域时可自行配置DNS服务器）

 

DHCP的安全

---

 

 

一、攻击

（1）针对DHCP服务器的攻击：大量发送伪装DHCP请求，类似DDOS攻击原理

（2）针对客户机的攻击：攻击者将自己伪装部署为DHCP服务器，向客户机提供非法地址

二、防御

（1）防御针对服务器的攻击：在交换机（管理型-- 管理型交换机产品提供了基于终端控制口（Console）、基于Web页面以及支持Telnet 远程登录 网络等多种网络管理方式）的端口上做动态MAC地址绑定

（2）防御针对客户机的攻击：禁用所有除合法DHCP服务器接口外发送DHCP offer包的权限