DHCP部署与安全

1.DHCP作用

全称Dynamic Host Configuer Protocol(动态主机配置协议),自动分配IP地址。

2.DHCP相关概念

地址池/作用域:包含IP、子网掩码、网关、DNS、租期。

3.DHCP优点

减少工作量、避免IP冲突、提高地址利用率

4.DHCP原理

也称为DHCP租约过程,主要包含4个步骤:

1.客户机发送DHCP Discovery广播包 ,客户机广播服务器剩余可用地址 (客户机广播亲求IP地址,并包含客户机的唯一标识MAC地址)

2.服务器响应DHCP Offer广播包,服务器将全部可用地址发送给客户机(服务器响应提供的IP地址,但其中不包含子网掩码、网官、DNS、租期等信息)

3.客户机发送DHCP Request广播包,客户机选好ip后,将请求此IP的其它信息(确定使用IP)

4.服务器发送DHCP ACK广播包,服务器确认租约,并提供网卡详细参数IP、子网掩码、DNS、租期(服务器将地址池里的地址取出来)

5.DHCP攻击与防御

1.DHCP攻击

a. 客户端攻击DHCP服务器

用户可以通过伪造MAC地址来不断发送DHCP Discovery地址请求包和DHCP Request确认包,来消耗DHCP服务器的可用地址,直至DHCP服务器再无可用地址,导致正常的DHCP请求拒绝。

b.DHCP服务端伪造

pc机自己伪造为一台DHCP服务器,给正常用户一个假的IP地址,导致用户无法正常连接到网络。

2.DHCP攻击防御

a.客户端攻击DHCP服务器防御

交换机(管理型)做动态MAC地址绑定,pc机插上网线后,交换机将端口与pc的MAC地址进行绑定,就使得pc机无法伪造MAC地址。

b.DHCP服务端伪造

在交换机上开启拒绝pc机发起DHCP offer广播包除了DHCP服务器端口,因为只用DHCP服务器才可以发起offer包。

6.DHCP续约

当客户机租约时间过了50%,客户机将再次发送DHCP Request包,请求续约。(续约时间为1,包含剩余50%)

windows中当客户机在50%发送续约包时未响应,将在87.5%再次请求续约,如仍未响应,将主动释放该地址,同时发送Discovery包重新获取地址。当没有DHCP服务器响应时,将自己给自己分配一个169.254.x.x/16的地址。也就是说当DHCP服务器停止运行后,局域网内部仍然可以继续互相通信。(169.254.x.x/16为全球统一的内网地址)

7.部署DHCP服务器

1.利用Windows部署DHCP服务器

1.做规划,给windows服务器配置静态地址。

2.打开windows服务器自带光盘,然后选择windows组件,找到网络服务中DHCP服务并勾选,

3.查看开放端口,是否开启UDP67,68两个端口。

4.创建作用域(地址池):在开始中找到DHCP,新建作用域,配置好起始地址与结束地址,地址排除以及租期

5.设置网关,指定DNS服务器(从运营商获取),wins不做设置(DNS的上一代产品)

 8.选项优先级

作用域选项大于服务器选项,当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器。

9.DHCP常用命令

1.ipconfig  /new 当PC机没有IP时,将向DHCP服务器发送discovery包获取IP;当pc有IP时,将发送request请求包,请求续约。

2.ipconfig /release 释放IP(取消租约或者改为手动配置IP,也可释放租约)

 

上一篇:linux中DNS服务与ensp相结合


下一篇:使用TinyPXEServer小工具实现PXE网络批量安装Windows2012、2016、2019、Linux等操作系统