DHCP部署与安全
Dynamic Host Configuration Protocol(动态主机配置协议)自动分配IP
相关概念
地址池/作用域:IP、子网掩码、网关、DNS、租期
DHCP协议是 UDP 67/68
优点
减少工作量、避免IP冲突、提高地址利用率
DHCP租约原理
四个步骤:
1)客户机发送DHCP Discovery广播包
客户机广播请求IP地址(请求包含客户机MAC地址)
相关命令:
ipconfig /release # 丢弃IP
ipconfig /renew # 无IP时自动获取IP,若当前有IP则是续约
# 手工配地址也是释放自动获取的IP
2)服务器响应DHCP Offer广播包
服务器响应,提供的IP地址(无子网掩码)
3)客户机发送DHCP Request广播包
客户机请求IP
4)服务器发送DHCP ACK广播包(Acknowledge character)
服务器发送确认字符,并提供给网卡详细参数IP、子网掩码、网关、DNS、租期等
DHCP续约原理
当时间过租约50%后,客户机再次发送发送DHCP Request,若响应,从当前开始续。若无响应,当过87.5%的时候,再次发送DHCP Request。若仍然无响应,自动放弃,重新请求。当服务器无响应时,自动给自己分配一个169.254.x.x/16(此时不能联通外网,单局域网内部可以相互通信)
部署DHCP服务器
1)IP地址固定
服务器必须使用静态IP地址
2)安装DHCP服务插件
安装可选的Windows组件-网络服务-DHCP
3)新建作用域及作用域选项
记得备份
开始-所有程序-管理工具-DHCP服务器-右键服务器,新建作用域-起始IP到结束IP应预留(比如21-250,预留给其他服务器) -屏蔽IP-设置时间-设置默认网关-DNS服务器-WINS服务器(淘汰可忽略)-先不激活,确认后再激活
4)激活
5)客户机验证
地址保留
对指定MAC地址分配指定IP地址
开始-所有程序-管理工具-DHCP服务器-右键保留-新建保留
选项优先级
作用域很多的时候可以不设置作用域DNS,直接设置服务器DNS。
若作用域网段相同,也可以直接设置服务器网关。
若已经设置了服务器DNS,单独设置作用域DNS的时候,优先级高。
DHCP的攻击和防御
1)直接攻击DHCP服务器:
频繁发送伪装DHCP请求,知道DHCP地址池资源耗尽。
防御:在交换机(管理型)的端口上做动态MAC地址绑定。
银行证券一般用静态绑定,不允许拔网线,换电脑
2)伪装DHCP服务器攻击:
hack通过将自己部署为DHCP服务器,为客户及提供非法IP地址。
防御:在交换机(管理型)上,除了合法的DHCP服务器所在接口,全部设置为禁止发送DHCP Offer包。
