本文深入探讨了DHCP和DNS的部署与安全,包括DHCP的作用、原理、优点、漏洞及其防御,以及DNS的解析过程、服务器搭建、域名组成和安全问题。详细阐述了DHCP的四个步骤和DNS的查询类型,强调了地址保留和选项优先级。同时,介绍了DNS服务器的搭建和客户机解析域名的过程,以及如何防御DNS攻击。
目录
第十章 DHCP部署与安全
一.DHCP的作用
全名:Dynamic Host Configure Protocol(动态主机配置协议)
作用:自动分配IP地址(可以自己配置IP,但从事其他行业的人并不一定知道如何自行配置)
二.DHCP相关概念
地址池/作用域(IP、子网掩码、网关、DNS、租期),DHCP的协议端口是UDP 67/68
举例解释:就像机房里的电脑,每台都需要地址,但每台没有地址不影响,只要把所有地址放在一台服务器上,相当于创建了一个放地址的池子,每台机器想要上网都得发送请求,让服务器给出上述五个条件才能正常上网。
ps:(作用域是微软自己起的名字,其他厂商基本使用地址池)
三.DHCP的优点
减少工作量、避免IP冲突、提高地址利用率
四.DHCP原理 (重点)
1.原理
DHCP原理也称为DHCP租约过程,分为四个步骤:
例子解释:假设你去大街上,对着广播喊租房,这时,听到你请求的房东用广播回应你他有房要租,然后是带你看房,你同意,签合同,给你钥匙。但如果在你喊出去的同时有两个或多个房东回应,你只会接受第一个回应你的(不可能同时回应)。
1)客户机发送DHCP DISCOVERY广播包(客户找房子)
客户机广播请求IP地址(包含客户机的MAC地址)
ps:要带有唯一表示,让服务器知道谁在请求,MAC地址是物理地址,每台计算机的唯一标识。
2)服务器响应DHCP Offer广播包(房东回应,带你看房,没给你钥匙等)
服务器响应提供的IP地址(但无子网掩码、网关、DNS等)
3) 客户机发送DHCP Request广播包(客户说明自己的需要,确认要哪个房)
客户机选择IP(也可认为确认使用哪个IP)。
4)服务器发送DHCP ACK广播包(签订合同,房东给你钥匙)
服务器确定了租约(服务器生成一张表,记录什么时候,客户机的mac地址使用了哪个ip,什么时候结束等信息),并提供网卡详细参数IP、掩码、网关、DNS、租期等。
2.漏洞
1)普通交换机的bug
当客户机使用kail(能够伪造mac地址)向交换机一直发送广播包,会导致交换机瘫痪,因此,公司一般使用企业级交换机(绑定mac地址,只有绑定过的才回应)
2)部分客户机瘫痪bug
当一台用户机伪造DHCP时,部分客户机发送discovery包时会被此用户机先回应,导致无法上网。
五.DHCP续约
当时间过一半时,客户机会再次发送DHCP Request包,进行续约,此续约会清空原先的时间重新从你续约的时候加时间,而不是从你上次续约结束后加时间,如服务器无响应,则继续使用并在87.5%再次DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址,当无任何服务器响应时,自动给自己分配一个169.254.x.x/16
(全球统一的ip,无法上网)。
例如:你租了一年的房,过了半年,你又再续约一年,从你续约那一刻加一年,此时你总共有的租期是一年半,而不是两年
规定约期视情况而定,长也不好,短也不好。
六.部署DHCP服务器
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户机验证:
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /renew 重新获取IP(有IP时,发送request续约,无IP时发送Discovery重新获取)
具体步骤
1)连接两虚拟机至同一局域网
2)IP地址固定(服务器必须固定IP地址)
本地连接-属性-常规-TCP/IP(双击)
3)安装DHCP服务插件
(网络服务中的DHCP服务,双击打开)
4)新建作用域及作用域选项
开始-管理工具-DHCP
右键-新建作用域
随便写就行
依据自己的情况配即可
会有排除选项,排不排除都可以,如果排除那么自动跳过这一块IP地址,如果只要排除一个,那么在起始IP地址处输入要排除的IP即可
限制期也自己依情况而定
输入公司的网关IP
输入公司这一片的ip
wins服务器是早一代古老的服务器(已经淘汰),直接 跳过即可,然后激活即可
地址池为提供的地址范围,地址租约可以查看谁拿过地址,保留能将mac地址与ip地址固定,作用域选项:用于建立,路由器,网关等。
七.地址保留
对指定的IP地址进行固定动态分配IP地址。
八.选项优先级
作用域选项>服务器选项
当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器。
九.DHCP攻击与防御
1)攻击DHCP服务器:频繁的发送伪装 DHCP请求(伪装mac地址),直至将DHCP地址池资源耗尽
防御:在交换机的端口上做动态mac地址绑定
2)伪装DHCP服务器攻击:黑客通过部署自己为DHCP服务器,为客户机 提供非法ip地址
防御:在交换机上,除合法的DHCP服务器所在接口外,全部设置为禁止
(以上交换机必须为管理型)
第十一章 DNS部署与安全
一.DNS
Domain Name Service
域名服务
作用:为客户机提供域名解析服务器
二.域名组成
2.1 域名组成概述
如“www.xxx.com.cn”是一个域名,从严格意义上讲“xxx.com.cn”才被成为域名(全球唯一),而www是主机名。
“主机名.域名”称为完全限定域名(FQDN)。一个域名下可以有多个主机,域名全球唯一,那么“主机名.域名”也是全球唯一。
以“xxx.com.cn”域名为例。一般管理员在命名主机其主机的时候会根据其主机的功能命名,比如网站的是www.博客的是blog,论坛的是bbs,对应的FQDN为www.xxx.com.cn,blog.xxx.com.cn,bbs.xxx.com.cn,然而,我们只需要申请一个域名即“xxx.com.cn”即可。
2.2 域名组成
树形结构
根域 .
顶级域
国家顶级域 cn jp hk uk
商业顶级域
com 商业机构
gov 政府机构
mil 军事机构
edu 教育机构
org 民间组织机构
net 互联网
一级域名
二级域名
..........
如: www . baidu.com.(最后的点不能没有,一般是浏览器自己给你加了)
.为根域
.com为顶级域
baidu为一级域名
www为主机名
FQDN=主机名.DNS后缀
FQDN(完整合格的域名)
三. 监听端口
TCP53
UDP53
四.DNS解析种类
4.1 按查询方式分类:
1)递归查询:客户机与本地DNS服务器之间
2)迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程
客户机:众多内网公司的某个员工
本地DNS服务器:不是指公司本地,而是为你提供服务的服务器
由于世界上有许多域名,所以有多个服务器负责,每个服务器负责不同的域名
经典题型:
哪些属于递归查询?
客户机与本地DNS服务器 DNS转换器与客户机
4.2、按照查询内容分类:
1 )正向解析︰已知域名,解析IP地址
2)反向解析∶已知IP地址,解析域名
五. DNS服务器搭建过程
1)要求网卡IP是静态IP地址。
2)安装DNS服务器插件(也就是安装并开启TCP及UDP53端口)
3)创建区域文件(负责一个域名后缀的解析,如baidu.com为域名后缀,一台DNS服务器内可存放多个区域文件)
4)新建A记录
安装DNS服务插件,与DHCP一致更改为DNS即可
主要区域为主服务器,辅助区域是备份服务器,存根区域是国家级的,不用考虑
剩下不变,安装即可
六、DNS客户机如何解析
1)指向DNS
2)手工解析域名:
nslookup 域名
七、DNS服务器处理域名请求的顺序
1)DNS高速缓存(必须学会如何查看及清空)
2)DNS区域配置文件
3)DNS转发器
4)根提示
八、清除DNS缓存
8.1、客户机上清除缓存
ipconfig/flushdns
8.2、服务器上清除缓存
windows服务器:dns工具--查看--高级,调出缓存来,然后右键清除缓存
九、域名解析记录类型:
A记录:正向解析记录
CNAME记录:别名
PTR记录:反向解析记录
MX:邮件交换记录
NS:域名服务器解析
十、反向DNS
nslookup手工解析时,会进行一个反向解析
十一、DNS服务器分类
主要名称服务器
辅助名称服务器
根名称服务器
高速缓存名称服务器
十二、客户机域名请求解析顺序
1.DNS缓存----2.本地hosts文件--3.找本地DNS服务器
十三、服务器对域名请求的处理顺序
1.DNS高速缓存--2.本地区域解析文件--3.转发器--4.根
扫一扫
931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
