DHCP部署与安全
1、DHCP作用
(Dynamic Host Configure Protocol 动态主机配置协议)自动分配IP地址
2、DHCP相关概念
地址池/作用域:(IP、子网掩码、网关、DNS、租期)
DHCP协议端口是 UDP 67/68
3、DHCP优点
减少工作量、避免IP冲突、提高地址利用率
4、DHCP原理
也称为DHCP租约过程,分为4个步骤:
1)客户机发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2)服务器响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
3)客户机发送DHCP Request广播包
客户机选择先响应的服务器
4)服务器发送DHCP ACK广播包
服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
5、DHCP续约
当50%过后,客户机会再次发送OHCP Request包,进行续约,如服务器无响应,则继续使用。并在87.5%再次 DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址。当无任何服务器响应时,自动给自己分配一个169.254.×.x/16,属于全球统一无效地址,用于临时内网通信!
6、部署DHCP服务器
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户机验证:
ipconfig /release # 释放ip(取消租约,或者改为手动配置ip,也可以释放租约)
ipconfig /renew # 重新获取IP(有IP时,发送request续约,无IP时发送Discovery重新获取IP)
7、地址保留
对指定的MAC地址,固定动态分配IP地址
8、DHCP攻击与防御
1)攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御:在交换机(管理型)的端口上做动态MAC地址绑定
2)伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址
防御:在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送dhcp offer包
==================================================================================
部署DHCP服务器,使用winxp和win2003虚拟机做实验
首先将xp和2003桥接到同一个网络上
给2003服务器配置ip(服务器的ip和要提供的ip网络号要一致,保证在同一网络中),选中网上邻居右键属性,选中网卡右键属性,双击Internet协议手动配置ip(这个ip不能在地址池中再出现了)。
2003中插入光盘
双击我的电脑,再双击光驱
点击安装可选的Windows组件
下拉找到网络服务,双击打开
勾上DHCP这个选项,点击确定
然后下一步,等待DHCP插件的安装完成。
开始找到管理工具,打开DHCP
选中服务器,右键选择新建作用域
点击下一步,给DHCP服务器取个名字,点击下一步
定义地址池中ip地址的范围,可以前面和后面都预留出一些ip地址,设置子网掩码。(确定ip范围和子网掩码)
添加一些想排除掉的ip地址,点击下一步
设置ip地址的租期,点下一步。(确定租期)
网关和DNS还没有配置,这两个是DHCP的选项,这里勾选是,点下一步。
添加网关地址,点下一步
添加DNS地址,点下一步
WINS服务器已淘汰,点下一步
勾选是,点下一步,就完成了
地址池里是可以提供的ip地址
地址租约是谁从地址池中拿的ip信息
作用域选项里是网关和dns服务器
xp重新获取ip地址,网卡右键点击停用,再右键点击启用,双击网卡查看详细信息。此时可以看到xp已经从2003DHCP服务器自动获取了ip地址。
注:如果xp获取我们配置的DHCP服务器的ip失败,可能是因为连上了虚拟交换机上Vmware自带的DHCP服务器,解决措施如下。
点击Vmware上面菜单栏中的编辑,点击虚拟网络编辑器,点击右下角的更改设置
选择实验连接的虚拟交换机,将使用本地DHCP服务分配给虚拟机这个选项取消掉,点击确定。
地址保留,自动获取固定地址。保留右键新建保留
填写保留ip地址和名称等信息。
备份
选中服务器,右键选择备份
在d盘中新建一个benfen文件夹,备份到里面去
打开文件夹可以看到备份的相关信息
还原
选中作用域,右键删除
选中服务器右键还原
找到d盘下备份好的文件就还原好了
==================================================================================
