day05、1 - DHCP部署与安全

最新推荐文章于 2024-09-01 10:46:24 发布
最新推荐文章于 2024-09-01 10:46:24 发布
阅读量380 收藏
点赞数
分类专栏: web安全基础 文章标签: 网络 服务器 windows 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Edimade/article/details/124598294
版权

一、DHCP概述

1.DHCP是什么

  • 动态主机配置协议,是一个局域网的协议(Dynamic Host Configuration Protocol)
  • 当我们的主机选择自动获取IP地址时,主机会用DHCP协议与DHCP服务器通信,得到提供的IP地址等信息

2.DHCP作用

  • 自动分配IP地址

3.DHCP的地址池和端口号

  • 地址池/作用域:DHCP服务器上一个存放(IP、子网掩码、网关、DNS、租期)的池子,当有主机请求DHCP服务时,就会将地址池中的数据分配给主机
  • DHCP端口号:UDP 67/68

4.DHCP相比手动配IP的优势

  • 减少工作量、避免IP冲突、提高地址利用率(通过设置租期反复利用地址)

二、DHCP原理

1.DHCP租约过程

  1. 客户机发送DHCP Discovery广播包

    客户机广播请求IP地址(广播包中包含客户机的MAC地址—自己身份的唯一标识),广播包只能在同一个局域网内传播,即同一个网段,所以DHCP固定的IP要和地址池中提供的IP为同一网段。后面会学习

  2. 服务器响应DHCP Offer广播包

    服务器响应提供的IP地址(但无子网掩码、网关等参数)—因为可能不止一台DHCP响应,不可能一收到请求就发送地址池中的全部网络数据

  3. 客户机发送DHCP Request广播包

    客户机选择IP(确认使用),同时通过广播发送是为了告诉其他的DHCP服务器,我已经选择好了,不用你们的IP,先收到哪个DHCP Offer广播包就使用哪个IP

  4. 服务器发送DHCP ACK广播包

    服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等(看到ACK就表示确认的含义)。DHCP服务器上会形成租约列表,记录你的MAC对应哪个IP,租期是多久等,如果其他主机再请求DHCP服务,就不会再使用这个IP

  • 注意特殊的节点:
    • 当本地连接被禁用再重启、关机再重启、拔网线、或者ipconfig /releaserenew都会重新发送DHCP Discovery广播包。但是注意前三点都不会释放IP地址,再发送Discovery广播包不会重新获取IP,服务器只会发送ACK确定租约—租期从这一刻重新开始倒计时了;而第四点release会释放IP地址,那么服务器会将此IP放到地址池中,下一次再renew发送请求,服务器会在地址池中随机取IP和租期等发给主机。
    • 当主机已经获取了IP地址,但是ipconfig /renew时,会发送Request广播包,重新获取租约,IP不变
    • 如果MAC地址发来Discovery广播包,但是租约表中有给此MAC分配的IP地址且租期没到,则直接发送ACK广播包给对应MAC地址的主机,并确定租约。

2.DHCP续约

  • 当50%过后,客户机会再次发送 DHCP Request包—进行续约,若服务器无响应,则继续使用

  • 在87.5%再次发送 DHCP Request包—进行续约,若仍然无响应,会释放IP地址,并重新发送DHCP Discovery广播包来获取IP地址

  • 当无任何服务器响应时,网卡自动给自己分配一个169.254.x.x/16

    169.254.x.x/16(子网掩码前16位为1) 属于全球统一无效地址,用于临时内网通信!

注意:这个续约给的租期不是累加的,是从续约这一刻开始的重新租期,比如我第一次的租约为24小时,12小时后续约,服务器又分配给我24小时租约,那么我现在的租约就是24小时,不会12+24累加

三、DHCP攻击与防御

分为两种攻击:伪装成DHCP服务器攻击;攻击DHCP服务器

  • 攻击DHCP服务器:

    坏蛋主机通过伪造很多MAC地址,频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽

  • 防御方法:使用管理型交换机;在交换机端口上做动态MAC地址绑定(后面学习)

    因为管理型交换机的端口会识别DHCP服务请求,并且有动态MAC地址绑定的功能—比如现在坏蛋主机连接到的交换机上,当主机第一次发送任何包时,交换机就会记录这个端口连接的主机的MAC地址,如果现在坏蛋主机发送伪装DHCP请求包,包中就肯定包含伪造的MAC地址,那么交换机就会动态绑定伪造的MAC地址到接入的这个端口,那么如果再次伪造请求或者使用真正的MAC地址请求DHCP时,消息就被交换机阻拦了。交换机会按照设定好的解决措施处理。

  • 伪装成DHCP服务器攻击:

    hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址,使用户不能上网

  • 防御方法:在企业级管理型交换机的端口上设置阀门—禁止除合法的DHCP服务器外的任何人发送DHCP Offer广播包

四、部署DHCP服务器

1.生活中的DHCP服务器

  • 家里用的无线路由器,厂家在生产时就把无线路由器部署为DHCP了,手机连上路由器就可以获取地址上网。
  • 大型公司中都会专门买设备部署成DHCP服务器,而且不止一台,有备用的

2.服务器软件

  • 在服务器系统win2003,win2008中,如果想要此服务器提供什么服务,需要对应的服务器软件来开启服务对应的端口,并且通过服务器软件将服务器部署成可以提供xxx服务的xxx服务器。所以一般部署都是需要使用系统自带已经安装好的服务器软件或者去下载对应的服务器软件
  • 对于win2008以上版本,系统会已经安装好一些服务;其他的服务,系统已经将所有需要的服务器软件的安装包放到了C盘,我们通过管理工具—服务器管理器—添加角色—选择想要安装的服务即可
  • 对于win2003老版本,所需要的服务器软件都放入了win2003的光盘中(使用对应系统的ISO镜像文件),插入光盘在光驱中安装组件即可。

3.windows系统部署DHCP服务器

  1. IP地址固定(服务器必须固定IP地址)

  2. 安装DHCP服务插件

    • 系统已经安装好的服务器软件在管理工具

      image-20211018162038209

    • win2003没有的服务器软件需要插入03光盘在光盘中下载需要的windows组件

      image-20211018162231041image-20211018162333107

  3. 新建作用域及作用域选项

    • 给作用域起名:一般公司内部会划分很多网段,每一个网段都要创建对应的作用域,分配属于此网段范围内的IP地址,所以起名最好见作用域名知部门名

    • 一般在新建作用域前要合理规划好IP地址,前后要留出空闲的IP供同局域网中其他服务器使用

      image-20211018162729801

    • 添加排除地址:表示在作用域地址范围内还有哪些地址不能使用

    • 设置租期:根据场所的人员的流动情况来合理的设置租期

      image-20211018162917267

    • 设置为不同网段的主机分配的网关IP、DNS服务器IP(运营商提供的)都需要问清楚,不随便填

  4. 激活

    • 如果不激活,即使下载了HDCP服务器软件,该主机的67/68端口也没有开启,就无法提供服务,激活即开启了UDP 67/68端口号

  5. 客户机验证:

    • 命令:
    ipconfig /release   #释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /renew     #重新获取IP(有IP时,发送request续约,无IP时发送Discovery重新获取IP

    • 如果主机选择自动获取IP地址,即发送DHCP Discovery广播包,如果局域网内长时间无服务器响应,那么主机就会配置一个临时的IP地址

      image-20211018163857660

    • 此时就需要使用命令释放IP重新获取IP、拔网线、禁用再重连本地连接等方法,去请求已经配置好的DHCP服务器

  6. 成功

    • 如果租约建立成功,DHCP服务器上会记录

      image-20211018164238360

4.地址保留

  • 对指定的MAC地址,固定动态分配IP地址

  • 需要知道保留对象的MAC地址,这个MAC地址主机只要发送DHCP请求IP,那么就会给这台主机固定的IP地址和相关信息,不会随机从地址池中选取,但是DNS服务器IP和网关IP不会变,该作用域中当时设置的什么就分配什么给主机

    image-20211018164620652

5.DHCP备份

  • 备份服务器的所有作用域,当服务器宕机后,可以使用备份文件在其他DHCP服务器上进行还原所有配置

  • 在服务器名称上右键备份,会备份这台服务器上的所有作用域,因为一个公司会划分很多网段,每一个网段都要设置对应的作用域,不能说我用10.1.1.0这个网段的作用域给20.1.1.0这个网段的主机分配。

    image-20211018165113364

小贴士:DHCP服务器软件上的服务器名称点击右键删除是删除软件显示界面上的服务器名称,而部署好的DHCP服务器不会删除即上图所示。但是这个服务器名下的作用域是可以删除的。如果备份了,对着服务器名称点击还原,既可以恢复。如果因为误删了服务器名称,可以通过右键DHCP–浏览–高级–立即查找,选中DHCP服务器名称重新显示

image-20211018165458889

6.选项优先级

  • 作用域选项>服务器选项

    服务器选项中设置的信息为所有作用域共有的,而作用域选项中设置的信息为本作用域共有的。

    如果服务器选项和作用域选项中设置了相同的信息,则以作用域中的为准

  • 当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器;但不能设置网关IP,因为不同网段的网关不同。

    image-20211018170744936 image-20211018170838867image-20211018170911875

五、易错点和小问题

  1. DHCP服务器只能提供和DHCP服务器的IP所在网段相同的IP地址,且一台DHCP服务器上创建的作用域必须为不同网段,即一个网段只能创建一个作用域用来分配属于此网段的IP地址

    比如现在给DHCP服务器IP设置为10.1.1.1(255.255.0.0),现在给DHCP服务器上创建两个作用域:作用域1分配IP范围为10.1.1.20-10.1.1.250;作用域2IP范围为10.2.1.21-10.2.1.254;(不能是和作用域1一个网段的比如10.1.1.2-10.1.1.19这种)

    那么现在属于同一局域网内的一台主机自动获取IP地址,最后分配到的地址只能是DHCP作用域1里的地址,DHCP不能提供10.1.0.0网段外的地址池中的地址

  2. 如果实验中虚拟主机始终分配不到由自己搭建的DHCP服务器提供的IP地址,可能的原因是虚拟机主机连接的交换机中默认设置了DHCP服务器分配IP,多台服务器,主机先收到哪台的Offer广播包就用哪台的IP。

    解决办法:

    需要打开虚拟机的编辑选项–虚拟网络编辑器–查看虚拟主机连接的交换机是否自动分配了DHCP,分配的话就将使用本地DHCP服务将IP地址分配给虚拟机选项不要钩。然后再回到虚拟主机使用命令释放IP,再重新获取一遍即可

    image-20211018172948813
EdimadeZhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dhcp服务器安全防护措施
11-16
一个很有用的论文关于dhcp的内容 及包含其安全 等一系列的问题
DHCP安全及防范
ssslq的博客
02-10 4618
攻击以及安全防范
[网络安全学习篇5]:DHCP部署安全、DNS部署安全(千峰网络安全视频笔记 5 day)
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-06 8369
目录 DHCP部署安全 1、DHCP作用 2、DHCP相关概念 3、DHCP优点 4、DHCP原理 5、DHCP续约 6、部署DHCP服务器 7、地址保留 8、选项优先级 9、DHCP备份 11、DHCP 攻击与防御 DNS部署安全 1、DNS 2、域名组成 3、监听端口 4、DNS解析种类 5、DNS服务器搭建过程 6、dns请求顺序 7、DNS服务器分...
DHCP欺骗实验操作及防护措施
宝耶需努力的技术分享博客
07-30 4988
DHCP欺骗实验操及防护措施 实验操作DHCP欺骗实验操及防护措施1、实验拓扑搭建2、配置参数(1)PC1(2)PC2(3)SW1配置参数(4)AR1配置参数(合法路由器)(5)AR2配置参数(黑客路由器)3、防护措施设置4、PC1 获取DHCP地址5、PC2 获取DHCP地址6、中断合法AR1端口后,验证PC能否正常获取DHCP 1、实验拓扑搭建 2、配置参数 (1)PC1 (2)PC2 (3)SW1配置参数 [SW1]vlan batch 10 20 [SW1]interface Ethernet
什么是 DHCP?描述工作过程DHCP6种报文,DHCP的作用是什么,如何让一个vlan中的DHCP服务器为整个企业网络分配IP地址? DHCP安全问题及防范办法,
冷鞘-的博客
05-24 1417
** 10、 什么是 DHCP?描述工作过程? ** ** DHCP: ** dynamic host config protocol 动态主机配置协议 所有的节点通过自动获取的方式来配置ip地址 是一中C—S模型(client–server) ** DHCP工作原理 **:所有的消息数据包使用UDP方式发送(基于UDP封装),UDP端口号为67(server)----68(client) DHCP discover (发现) Offer (应答) Request (请求) Ack
10.DHCP部署安全
你的猴子呀
12-19 249
前言: 作者在CSDN博客上开通了[网络安全学习]专栏,目的在于激励自己坚持学习。由于是初次进行博客创作、经验不足、可能比较粗糙,如有错漏之处希望大家能够指正、也欢迎大家一起交流学习。 如需查看完整学习博文(笔记)请点击 [网络安全学习] 进行查看 注:本实验只为与大家一起学习探讨网络安全学习,请勿用作恶意途径。 一、DHCP作用 (Dynamic Host Configure Protocol)动态主机配置协议、自动分配IP地址 二、DHCP相关概念 地址池/作用域:(IP、子网掩码、网关、DNS、租
DHCP部署安全
Agineer的博客
04-08 743
DHCP部署安全 DHCP相关概念 1.DHCP(Dynamic Host Configure Protocol)作用: 自动分配IP地址 2.DHCP相关概念:地址池 / 作用域 :(IP、子网掩码、网关、DNS、租期)DHCP端口号为UDP 67/68 **3.DHCP优点:**减少工作量、避免ip冲突、提高地址利用率 4.DHCP原理:DHCP租约过程,分为4个步骤  &nbsp...
11、DHCP安全问题及防御
weixin_44012909的博客
08-20 2320
一、DHCP饿死攻击 CHADDR:客户端的硬件地址(源MAC地址) 攻击原理:攻击者持续大量的向服务器申请IP地址,导致服务器地址池地址耗尽,从而不能正常给客户分配地址。 利用的漏洞:DHCP服务器无法分辨主机。 防御:DHCP snooping(窥探)防饿死攻击----致性检查(request报文帧头mac地址和chaadde报文字段是否相同,相同才转发)、限制接口允许学习的DHCP...
DHCP Snooping DHCP安全特性
hjk_fei的博客
05-09 2820
攻击DHCP的三种方法:1.饿死攻击:攻击原理:攻击者持续大量的向DHCP Server 申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。2.漏洞分析:DHCP Server像申请者分配ip地址无法区分恶意申请。3.DHCP中间人攻击  DHCP Snooping技术增强网络安全部署在Switch交换机上(中间交换机)类似于一个防...
网络安全技术第五章——第三节DHCP协议安全DHCP协议概述、非法DHCP服务器的工作原理与防范手段)
ZSWAries的博客
05-31 2150
DHCP协议安全 1.DHCP概述: IP地址是因特网采用的编址方案,加入因特网首要条件就是获取一个合法的IP地址。 手动配置IP相关参数非常的繁琐。 应用层DHCP协议解决了这一难题,但同时也带了安全问题。 2.DHCP作用 动态主机配置协议DHCP(Dynamic Host Configuration Protocol,动态主机配置协议) 客户机/服务器协议。 功能:在TCP/IP网络中对客户机动态分配和管理IP地址等配置信息,以简化网络配置,方便用户使用及管理员的管理。 3.DHCP工作过程 DNC
DHCP的攻击和防御
qq_40624810的博客
12-15 3804
转https://cloud.tencent.com/developer/article/1197597
dhcp服务器class和group详解
hxzmjx的专栏
08-08 3230
DHCP服务器的作用:dhcp服务器在局域网中起的作用根据网络管理员的配置策略,根据局域网中各个机器的具体信息分配ip地址和其他网络参数的服务器,还能为pxe启动的机器指定pxe启动所需文件的位置。 客户机的具体信息:客户机能够给dhcp服务提供的信息由两个,第一个就是网卡的dhcp-client-identifier,第二个就是设备的vendor-class-identifier。管理员可以根...
网络原理 - 初识
2302_77179144的博客
08-28 1128
计算机之间通过网络来传输数据,也称为网络通信。根据网络互连的规模不同,可以划分为局域网和⼴域网。所谓 “局域网” 和 “广域网” 只是⼀个相对的概念。
Linux高性能服务器编程 总结索引 | 第2章:IP协议详解
AsherGu的博客
08-29 1131
IP服务的特点;IPv4头部结构;IP分片;IP路由:IP模块工作流程,路由机制,路由表更新;IP转发;重定向;IPv6头部结构:IPv6固定头部结构,IPv6扩展头部
如何将十六进制的乱码转换成汉字
2401_85258690的博客
08-28 2188
可以看出,接收到的报文第一行包含了我们想要的信息,我们需要将。在TCP通信时,抓包得到的请求报文,我们需要对其进行分析,中心思想为:剔除%,用strtol将16进制乱码进行转换。
网络编程学习:TCP/IP协议
最新发布
kkbbaaii的博客
09-01 1153
网络编程学习:TCP/IP协议
【CVPR‘24】BP-Net:用于深度补全的双边传播网络,新 SOTA!
梁瑛平的博客
08-28 734
深度补全任务旨在从稀疏的深度测量数据和同步的彩色图像中生成密集的深度图。现有的最先进方法多为基于传播的,通常作为对初始估计的密集深度的迭代改进。然而,这些初始深度估计通常直接将卷积层应用于稀疏深度图。在本文中,我们提出了一种双边传播网络(BP-Net),在最早阶段进行深度传播,以避免直接在稀疏数据上进行卷积。具体而言,我们的方法通过一个非线性模型从附近的深度测量中传播目标深度,该模型的系数由一个多层感知器生成,并基于辐射差异和空间距离进行调整。
动态代理和静态代理的区别,动态代理怎么提高网络安全
yls5yl的博客
08-28 1082
动态代理通过不断变化的IP地址,不仅在网络匿名性、隐私保护和抗攻击方面具有显著优势,还能有效提升用户的网络安全性。尽管与静态代理相比,动态代理可能在稳定性方面有所欠缺,但在现代复杂的网络环境中,它依然是保障网络安全的强大工具。了解并正确使用动态代理,将帮助用户在网络世界中游刃有余,最大程度地保护自己的隐私和数据安全
无线通信-WIFI通信
L的博客
08-28 1453
内容涉及WIFI通信。包含基础知识、工作模式、AT指令、常用AT指令实例、连接原子云、使用usb转ttl模块测试ATK-MW8266D、使用STM32F103ZET6战舰开发板透传模式、使用STM32F103ZET6战舰板连接原子云等知识。
网络攻防与信息安全:从0day到DHCP协议解析
"这篇复习资料涵盖了网络安全、信息安全基础、攻击与防御策略、网络协议解析以及域名信息查询等多个方面的内容。" 网络安全与信息安全是信息技术领域的核心话题。信息安全三原则强调了在安全漏洞生命周期中的0day...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值