**
10、 什么是 DHCP?描述工作过程?
**
**
DHCP:
** dynamic host config protocol 动态主机配置协议 所有的节点通过自动获取的方式来配置ip地址
是一中C—S模型(client–server)
**
DHCP工作原理
**:所有的消息数据包使用UDP方式发送(基于UDP封装),UDP端口号为67(server)----68(client)
DHCP discover (发现)
Offer (应答)
Request (请求)
Ack (确认)
动态主机配置协议(DHCP:Dynamic Host Configuration Protocol),提供了一种动态分配网络配置参数的机制。
DHCP协议是一种client/server模式的网络协议
DHCP基本工作流程:发现阶段、提供阶段、请求阶段、确认阶段。
DHCP的6种报文
DHCP discover、DHCP offer、DHCP request、DHCP Ack、DHCP nak、DHCP release。
**
DHCP的作用是什么,如何让一个vlan中的DHCP服务器为整个企业网络分配IP地址?
**
作用:动态主机配置协议,为客户端动态分配IP地址.
配置DHCP中继,也就是帮助地址.(因为DHCP是基于广播的,vlan 或路由器隔离了广播)
11、 DHCP 有什么安全问题?如何防范?
DHCP在设计上未充分考虑到安全因素,从而留下许多安全漏洞,使得DHCP很容易受到攻击。在实际网络中,针对DHCP攻击的手段主要有以下三种:
1、DHCP饿死攻击:
【攻击原理】:攻击者持续大量地向DHCP服务器申请IP地址,直到耗尽DHCP服务器地址池的IP地址,使DHCP服务器无法再给正常的主机分配IP地址
在PC机给DHCP Server发送的DHCP Discover 报文中有一个CHADDR字段,该字段是由DHCP客户端填写的,用来表示客户端的硬件地址(MAC地址),而DHCP Server 也是根据CHADDR字段来分配IP地址的,对于不同的CHADDR,DHCP Server会分配不同的IP地址,因为DHCP Server 无法识别CHADDR的合法性,攻击者就利用这个漏洞,不断的改变CHADDR字段的值,来冒充不同的用户申请IP地址,使DHCP Server 中IP池枯竭,从而达到攻击目的。
解决办法:DHCP Snooping 技术解决DHCP 饿死攻击
2、仿冒DHCP Server攻击:
【攻击原理】:当攻击者私自安装并运行DHCP Server 程序后,可以将自己伪装成DHCP Server,这就是仿冒DHCP Server。它的工作原理与正常的DHCP Server 一模一样,所以当PC机接收到来自DHCP Server 的DHCP报文时,无法区分是哪个DHCP Server 发送过来的,如果PC机第一个接收到的是来自仿冒DHCP Server 发送的DHCP报文,那么仿冒DHCP Server 则会给PC机分配错误的IP地址参数,导致PC客户端无法访问网络
解决办法:在DHCP Snooping技术中,将交换机的端口分为两种类型,信任端口(Trusted端口)和非信任端口(Untrusted端口),交换机所有端口默认都是Untrusted端口,我们将与合法DHCP Server 相连的端口配置为Trusted端口,这样交换机从Trusted端口接收到的DHCP 报文后,会正常转发,从而保证合法的DHCP Server能正常分配IP地址及其他网络参数;而其他从Untrusted端口接收到的DHCP Server 的报文,交换机会直接丢弃,不再转发,这样可以有效地阻止仿冒的DHCP Server 分配假的IP地址及其他网络参数。
3、DHCP中间人攻击:
攻击者利用ARP机制,让PC-A学习到IP-S与MAC-B的映射关系,让DHCP Server 学习到IP-A与MAC-B的映射关系,如此一来,PC-A与DHCP Server之间交互的IP报文都要经过PC-B进行中转。我们这里要了解交换机在转发数据包过程中,IP地址与MAC地址的变化过程,这个类似于MAC地址欺骗。由于PC1与DHCP Server之间的IP报文都会经过攻击者PC,攻击者就能很容易窃取到IP报文中的信息,进行篡改或其他的破坏行为,从而达到直接攻击DHCP目的。
解决办法:DHCP中间人攻击从原理上我们可以知道它其实是一种Snoofing IP/MAC攻击(ARP欺骗),所以要防止DHCP中间人攻击,就是要防止ARP欺骗。