1.DHCP作用
全称,Dynamic Host Configure Protocol,自动分配IP地址
2.DHCP概念
地址池(linux)/作用域(windows):(IP,子网掩码,网关,DNS,租期),DHCP协议端口是UDP 67/68
3.DHCP优点
减少工作量,避免IP冲突,提高地址利用率
4.DHCP原理
也称为DHCP租约过程,分为4个步骤
1:客户机发送DHCP Discovery广播包
客户机向一台或多台DHCP服务器广播,请求IP地址(这个请求中包含客户机的网卡物理地址MAC地址,这个地址是全球唯一的,是为了让DHCP服务器知道是哪台客户机发出的请求)
2:DHCP服务器响应客户机,并发出DHCP Offer广播包给客户机
DHCP服务器服响应,并且提供IP地址给客户机(单纯只有IP地址,并无子网掩码和网关)
3:客户机发送DHCP Request广播包
客户机选择IP(也可以认为客户机确认使用哪台DHCP服务器提供的IP,通常是哪台DHCP服务器响应得最快就采用哪个DHCP服务器提供的IP地址)
4:DHCP服务器发送DHCP ACK广播包
DHCP服务器与客户机确认了租约后,提供网卡更详细的参数(IP,子网掩码,DNS,租期等)
5.DHCP续约
当租约时间已经过了50%后,客户机会再次发送DHCP Request包向DHCP服务器申请续约,此时会把之前的剩余的租约废掉,重新开始一段全新的租约。
如果DHCP没响应,则继续使用并在87.5%的时候再次DHCP Request包向DHCP服务器申请续约,此时会把之前的剩余的租约废掉,重新开始一段全新的租约。
如果如果DHCP仍然没响应,重新发送DHCP Discovery广播包,寻找新的DHCP服务器。
如果仍然找不到可以工作的DHCP服务器,那么客户机会自动生成一个ip地址169.254.xxx.xxx,子网掩码是255.255.0.0,该IP地址是无法上网的,只是最大程度让局域网内的客户机能互相通信
例如:有个客户机已经申请了1小时的租约,当用了30分钟后,客户机再次向DHCP服务器申请续约,此时,客户机会把前一个租约剩余的30分钟废弃,重新得到一个60分钟的租约
6.部署DHCP服务器
概述
1.IP地址固定(DHCP服务器的IP地址必须是固定的)
2.安装DHCP服务插件
3.新建作用域以及作用域选项
4.激活
5.客户机验证:
ipconfig /release 释放IP(取消租约,或者改为手动设置IP地址也可以主动取消租约)
ipconfig /renew 重新获取IP
流程图
win2003的DHCP服务器
放入win2003安装盘
登录win2003,双击
在弹出的界面双击第三项“安装可选的windows组件”
双击“网络服务”,不是勾选而是双击,因为该案例只需要安装DHCP即可
勾选“动态主机配置协议”
安装完成
此时在cmd窗口输入
netstat -an
会发现被开启了UDP 67,UDP 68端口,这个是DHCP服务的端口
作为DHCP服务器的win2003,必须手动配置IP地址,这里配置的
IP地址是:
10.10.10.1
子网掩码是:
255.255.255.0
在“开始”---》管理工具里就多出了个DHCP的选项,点击该选项
右击---》“新建作用域”
设置好名称和描述,点击“下一步”
设置DHCP服务器自动生成的IP地址的取值范围,因为10.10.10.1是win2003本机的IP地址,所以要排除,之所以取值范围不是10.10.10.2~10.10.10.254,是因为最好预留一些IP地址用于人工设置IP地址的时候用
这是进一步设置要排除的IP地址,可以设置单独一个要排除的IP地址也可以设置一个要排除的IP地址的范围,一经排除,DHCP服务器就不会生成对应的IP地址供客户机使用
设置DHCP服务器生成的IP地址的租约时间(有效时间),这里设置了1天,也就是24小时
这里的意思是,是否现在为DHCP服务器配置网关和DNS地址,
选“是”就是现在设置,
选“否”就是稍后设置
设置网关地址,如果去到公司,那么就得问公司要个真正的网关地址,通常网关地址取第一个或最后一个可用IP地址
添加DNS服务器,因为通常公司都会向例如“电信”之类的运营商申请个公网(英特网)IP来建立自己的官方网站的,运营商通常会把最近的DNS服务器IP地址也会提供给公司,所以这里就填那个DNS服务器地址,然后按“添加”,这里的DNS服务器地址可以填多个
这个WINS服务器是DNS服务器的上一代产品,已经淘汰,所以这里不用设置任何东西,直接点击“下一步”
选择“激活”
此时会多出个作用域选项
地址池:DHCP服务器生成的IP地址范围
地址租约:客户机向DHCP服务器申请IP地址时才会有内容
保留:这里设置的是指定的一些客户机MAC地址和一些与其关联的固定的IP地址,为的是让这些指定的客户机申请IP地址的时候就给与其固定的IP地址
作用域选项:网关地址和DNS地址
winxp的客户机
因为IP地址和DNS都是服务端自动生成的,所以这里选择“自动获取”
此时就可以获取到win2003生成的ip地址,网关
此时,切回到虚拟机的win2003,可以发现“地址租约”里有分配的ip地址的记录
注意1
做这个实验之前,请先关闭真机的VMware DHCP Service服务,因为虚拟机VMware内置了一个DHCP服务器,所以为了避免xp获取的ip地址是从VMware内置的DHCP服务器获取而不是从win2003获取的,必须把VMware这个服务关闭
也就是VMware这个玩意儿在作怪,点击“编辑”---》“虚拟网络编辑器”
注意2
如果作为DHCP服务器的win2003开了防火墙也是不行的,因为防火墙默认是禁止67,68端口被访问的
客户机释放IP的命令
在客户机Winxp中输入
ipconfig /release
此时客户机的从win2003的DHCP服务器分配得到IP地址置零
并且win2003的DHCP服务器的“地址租约”一栏关于分配给winxp的tom123用户的信息会消失
客户机主动续约的命令
在客户机winxp的cmd窗口输入
ipconfig /renew
那么客户机就主动向win2003的dhcp服务器获取IP地址
此时,win2003的“地址租约”就会显示winxp获取IP的信息
注意:如果客户机是在前一个IP地址的续约期内续约,那么客户机此时发送的是DHCP Request
如果客户机本来就没IP地址的话,客户机此时发送的是
DHCP Discovery广播包
IP地址保留
有台客户机,用
ipconfig -all
查到MAC(世界唯一的网卡物理地址):00-0C-29-F6-B4-C2
切换到作为DHCP服务器的win2003,对着“保留”选项右击---》“新建保留”,然后把客户机的MAC地址输入,
并且为该客户机设置一个指定的IP地址,以后只要是该客户机进行申请都会把这个指定IP地址给到它(这里设置的是:10.10.10.33)
设置保留地址成功
在客户机一端,win2003的DHCP服务器指派了指定的IP地址10.10.10.33给客户机
DHCP服务器备份
对着设置好的服务器“右键”---》“备份”
选择好存储路径,点击确认
只需要点击还原
选择备份的文件夹
已经还原成功
选项优先级
一台DHCP服务器有多个作用域,不同作用域提供不同的网段IP给不同的部门,
IT部门的作用域是10.10.10.10~10.10.10.155,子网掩码是255.255.255.0
并且作用域选项是没设置的,也就是说没设置网关地址和DNS服务器地址的
财务部门的作用域是11.11.11.20~11.11.11.250,子网掩码是255.255.255.0
并且作用域选项也是是没设置的,也就是说同样没设置网关地址和DNS服务器地址的
此时可以在服务器选项处进行DNS服务器的统一设置
从上图可以看出,已经统一设置为了DNS服务器地址
此时可以发现,局部设置的DNS服务器地址会覆盖掉统一设置的DNS服务器地址
所以是作用域选项>服务器选项
所以当服务器上有多个作用域时,并且这些作用域中的一些配置是要统一配置的如DNS地址,那么可在“服务器选项”上统一设置DNS服务器
DHCP攻击与防御
1.
攻击:利用软件生成一堆假的MAC地址从而频繁发送DHCP请求,直到将DHCP地址池资源耗尽,从而让客户机无法上网
防御:在管理型交换机(非家庭那种傻瓜式交换机)的端口上做动态MAC地址绑定
2.
攻击:伪装DHCP服务器攻击,黑客通过将自己部署为DHCP服务器,为客户机提供非法IP地址
防御:在管理型交换机,除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP Offer包