DHCP协议需求背景
• 减少错误
通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址
再次分配给另一设备所造成的地址冲突等将大大减少。
• 减少网络管理
1、TCP/IP配置是集中化和自动完成的,不需要网络管理员手工配置。网络管理员能集中
定义全局和特定子网的TCP/IP配置信息。
2、使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。客户机配置的地
址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于它在新的地点重新启
动时,高效而又自动地进行配置。
3、同时大部分路由器能转发DHCP配置请求,这就减少了在每个子网设置DHCP服务器的
必要,除非有其它原因要这样做
DHCP概述
DHCP是Bootstrap协议的一种扩展,基于UDP协议,客户端的端口号是68,服务端的端口号是67
• DHCP协议特性
1、保证任何IP地址在同一时刻只能由一台DHCP客户机所使用
2、DHCP应当可以给用户分配永久固定的IP地址
3、DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)
4、DHCP服务器应当向现有的DHCP客户端提供服务
• 常用的option:
• 1 netmask
• 3 router
• 6 DNS
• 12 host name
• 51 ip address lease time
• 53 message type (dhcp报文8种类型,下一页介绍)
• 54 server identification
• 55 parameter request list (需要服务器给你提供哪些东西:ip地址,域名,网关)
• 61 client identification
• 82 relay agent
• 255 end
DHCP协议工作原理
• DHCP (Dynamic Host Configuration Protocol)是一种动态的向Internet终端提供配置
参数的协议。在终端提出申请之后,DHCP服务端可以向终端提供IP地址、网关、DNS服
务器地址等参数
DHCP案例
DHCP工作流程
如果收到多个DHCPOFFER报文,DHCP客户机会根据报文的内容从其中选择一个给与响应。如果客户机之前曾经获得过一个IP地址,它会将此地址写在DHCPREQUEST报文的OPTIONS域的“REQUESTD IP ADDRESS”中发给服务器
DHCP中继
考虑到成本,无需每个子网都配备一台DHCP服务器,所以DHCP协议应当可以通过路由器或
者BOOTP代理透传(DHCP中继)
• 由于DHCP请求报文采用广播方式发送报文,因此当DHCP客户端和DHCP服务器处于不同子网
时,必须要通过DHCP中继进行通信,最终获取到IP地址。
• 多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
DHCP Snooping概述
• DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机 上,作用是屏蔽接入网络中的
非法的 DHCP 服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的
DHCP 服务器获取 IP 地址。
• DHCP在设计上未从分考虑安全因素,从而留下了许多安全漏洞,使得DHCP很容易受到攻击。
实际网络中,针对DHCP的攻击行为主要有以下三种:
• DHCP饿死攻击
• 仿冒DHCP Server攻击
• DHCP中间人攻击
• DHCP饿死攻击
• 攻击原理:攻击者持续大量的向DHCP Server申请地址,直到耗尽DHCP Server地址池中的IP
地址,导致DHCP Server不能给正常的用户进行分配。
• 解决方法:通过校验CHADDR与MAC值。
仿冒DHCP Server攻击。
• 攻击原理:攻击者仿冒DHCP Server,向客户端分配错误的IP地址及提供错误的网关地址等,导
致客户端无法正常访问网络。
• 解决办法:通过配置trust与untrust口区分转发。
• 中间人攻击
• 攻击原理:攻击者利用ARP机制,让PC-A学习到IP-S与MAC-B的映射关系,又让Server学习到
IP-A与MAC-B的映射关系。如此一来,PC-A与Server之间交付的IP报文都会经过攻击者中转。
• 解决办法:开启ARP检测。
