10.DHCP部署与安全

1.DHCP作用

全称，Dynamic Host Configure Protocol，自动分配IP地址

2.DHCP概念

地址池（linux）/作用域（windows）：（IP，子网掩码，网关，DNS，租期），DHCP协议端口是UDP 67/68

3.DHCP优点

减少工作量，避免IP冲突，提高地址利用率

4.DHCP原理

也称为DHCP租约过程，分为4个步骤

1：客户机发送DHCP Discovery广播包

客户机向一台或多台DHCP服务器广播，请求IP地址（这个请求中包含客户机的网卡物理地址MAC地址，这个地址是全球唯一的，是为了让DHCP服务器知道是哪台客户机发出的请求）

2：DHCP服务器响应客户机，并发出DHCP Offer广播包给客户机

DHCP服务器服响应，并且提供IP地址给客户机（单纯只有IP地址，并无子网掩码和网关）

3：客户机发送DHCP Request广播包

客户机选择IP（也可以认为客户机确认使用哪台DHCP服务器提供的IP，通常是哪台DHCP服务器响应得最快就采用哪个DHCP服务器提供的IP地址）

4：DHCP服务器发送DHCP ACK广播包

DHCP服务器与客户机确认了租约后，提供网卡更详细的参数（IP，子网掩码，DNS，租期等）

5.DHCP续约

当租约时间已经过了50%后，客户机会再次发送DHCP Request包向DHCP服务器申请续约，此时会把之前的剩余的租约废掉，重新开始一段全新的租约。

如果DHCP没响应，则继续使用并在87.5%的时候再次DHCP Request包向DHCP服务器申请续约，此时会把之前的剩余的租约废掉，重新开始一段全新的租约。

如果如果DHCP仍然没响应，重新发送DHCP Discovery广播包，寻找新的DHCP服务器。

如果仍然找不到可以工作的DHCP服务器，那么客户机会自动生成一个ip地址169.254.xxx.xxx，子网掩码是255.255.0.0，该IP地址是无法上网的，只是最大程度让局域网内的客户机能互相通信

例如：有个客户机已经申请了1小时的租约，当用了30分钟后，客户机再次向DHCP服务器申请续约，此时，客户机会把前一个租约剩余的30分钟废弃，重新得到一个60分钟的租约

6.部署DHCP服务器

概述

1.IP地址固定（DHCP服务器的IP地址必须是固定的）

2.安装DHCP服务插件

3.新建作用域以及作用域选项

4.激活

5.客户机验证：

ipconfig /release 释放IP（取消租约，或者改为手动设置IP地址也可以主动取消租约）

ipconfig /renew 重新获取IP

流程图

win2003的DHCP服务器

放入win2003安装盘

登录win2003，双击

在弹出的界面双击第三项“安装可选的windows组件”

双击“网络服务”，不是勾选而是双击，因为该案例只需要安装DHCP即可

勾选“动态主机配置协议”

安装完成

此时在cmd窗口输入

netstat -an

会发现被开启了UDP 67，UDP 68端口，这个是DHCP服务的端口

作为DHCP服务器的win2003，必须手动配置IP地址，这里配置的

IP地址是：

10.10.10.1

子网掩码是：

255.255.255.0

在“开始”---》管理工具里就多出了个DHCP的选项，点击该选项

右击---》“新建作用域”

设置好名称和描述，点击“下一步”

设置DHCP服务器自动生成的IP地址的取值范围，因为10.10.10.1是win2003本机的IP地址，所以要排除，之所以取值范围不是10.10.10.2~10.10.10.254，是因为最好预留一些IP地址用于人工设置IP地址的时候用

这是进一步设置要排除的IP地址，可以设置单独一个要排除的IP地址也可以设置一个要排除的IP地址的范围，一经排除，DHCP服务器就不会生成对应的IP地址供客户机使用

设置DHCP服务器生成的IP地址的租约时间（有效时间），这里设置了1天，也就是24小时

这里的意思是，是否现在为DHCP服务器配置网关和DNS地址，

选“是”就是现在设置，

选“否”就是稍后设置

设置网关地址，如果去到公司，那么就得问公司要个真正的网关地址，通常网关地址取第一个或最后一个可用IP地址

添加DNS服务器，因为通常公司都会向例如“电信”之类的运营商申请个公网（英特网）IP来建立自己的官方网站的，运营商通常会把最近的DNS服务器IP地址也会提供给公司，所以这里就填那个DNS服务器地址，然后按“添加”，这里的DNS服务器地址可以填多个

这个WINS服务器是DNS服务器的上一代产品，已经淘汰，所以这里不用设置任何东西，直接点击“下一步”

选择“激活”

此时会多出个作用域选项

地址池：DHCP服务器生成的IP地址范围

地址租约：客户机向DHCP服务器申请IP地址时才会有内容

保留：这里设置的是指定的一些客户机MAC地址和一些与其关联的固定的IP地址，为的是让这些指定的客户机申请IP地址的时候就给与其固定的IP地址

作用域选项：网关地址和DNS地址

winxp的客户机

因为IP地址和DNS都是服务端自动生成的，所以这里选择“自动获取”

此时就可以获取到win2003生成的ip地址，网关

此时，切回到虚拟机的win2003，可以发现“地址租约”里有分配的ip地址的记录

注意1

做这个实验之前，请先关闭真机的VMware DHCP Service服务，因为虚拟机VMware内置了一个DHCP服务器，所以为了避免xp获取的ip地址是从VMware内置的DHCP服务器获取而不是从win2003获取的，必须把VMware这个服务关闭

也就是VMware这个玩意儿在作怪，点击“编辑”---》“虚拟网络编辑器”

注意2

如果作为DHCP服务器的win2003开了防火墙也是不行的，因为防火墙默认是禁止67,68端口被访问的

客户机释放IP的命令

在客户机Winxp中输入

ipconfig /release

此时客户机的从win2003的DHCP服务器分配得到IP地址置零

并且win2003的DHCP服务器的“地址租约”一栏关于分配给winxp的tom123用户的信息会消失

客户机主动续约的命令

在客户机winxp的cmd窗口输入

ipconfig /renew

那么客户机就主动向win2003的dhcp服务器获取IP地址

此时，win2003的“地址租约”就会显示winxp获取IP的信息

注意：如果客户机是在前一个IP地址的续约期内续约，那么客户机此时发送的是DHCP Request

如果客户机本来就没IP地址的话，客户机此时发送的是

DHCP Discovery广播包

IP地址保留

有台客户机，用

ipconfig -all

查到MAC（世界唯一的网卡物理地址）：00-0C-29-F6-B4-C2

切换到作为DHCP服务器的win2003，对着“保留”选项右击---》“新建保留”，然后把客户机的MAC地址输入，

并且为该客户机设置一个指定的IP地址，以后只要是该客户机进行申请都会把这个指定IP地址给到它（这里设置的是：10.10.10.33）

设置保留地址成功

在客户机一端，win2003的DHCP服务器指派了指定的IP地址10.10.10.33给客户机

DHCP服务器备份

对着设置好的服务器“右键”---》“备份”

选择好存储路径，点击确认

只需要点击还原

选择备份的文件夹

已经还原成功

选项优先级

一台DHCP服务器有多个作用域，不同作用域提供不同的网段IP给不同的部门，

IT部门的作用域是10.10.10.10~10.10.10.155，子网掩码是255.255.255.0

并且作用域选项是没设置的，也就是说没设置网关地址和DNS服务器地址的

财务部门的作用域是11.11.11.20~11.11.11.250，子网掩码是255.255.255.0

并且作用域选项也是是没设置的，也就是说同样没设置网关地址和DNS服务器地址的

此时可以在服务器选项处进行DNS服务器的统一设置

从上图可以看出，已经统一设置为了DNS服务器地址

此时可以发现，局部设置的DNS服务器地址会覆盖掉统一设置的DNS服务器地址

所以是作用域选项>服务器选项

所以当服务器上有多个作用域时，并且这些作用域中的一些配置是要统一配置的如DNS地址，那么可在“服务器选项”上统一设置DNS服务器

DHCP攻击与防御

1.

攻击：利用软件生成一堆假的MAC地址从而频繁发送DHCP请求，直到将DHCP地址池资源耗尽，从而让客户机无法上网

防御：在管理型交换机（非家庭那种傻瓜式交换机）的端口上做动态MAC地址绑定

2.

攻击：伪装DHCP服务器攻击，黑客通过将自己部署为DHCP服务器，为客户机提供非法IP地址

防御：在管理型交换机，除合法的DHCP服务器所在接口外，全部设置为禁止发送DHCP Offer包