七·DHCP部署与安全
*dhcp(dynamic host configure protocol)动态主机配置协议
协议:规则
网络安全:找协议里的漏洞
自己配ip地址可能会出现错误
地址池\作用域:把所有能用的ip,子网掩码,网关,dns,租期放在一个池子里
配置ip,先找到网络的网关地址,再根据网关地址去配置子网掩码和ip地址,之后再去配置dns地址
dhcp可以减少工作量,避免ip冲突,提高地址利用率
*原理,租约过程:
1.广播请求
发送dhcp discovery广播包
客户机请求ip地址(包括客户机的mac地址)
2.广播应答
相应dhcp offer广播包
服务器响应提供的ip地址(不包括子网掩码,网关,dns)
3.判断应答先后
客户机发送dhcp request广播包
客户机选择最终使用的ip
4.服务器发送ip信息
服务器发送dhcp ack广播包;(ack确定)
服务器确定租约,并提供了网卡的详细参数ip,掩码,网关,dns,租期
*dhcp续约
租约过半时,客户机向服务器发送request包请求续约,如果服务器无响应,当租期过四分之三时再次发送request包,如果再没有响应则重新寻找ip地址,当找不到其他服务器时客户机将会为自己分配ip地址169.254.x.x/16(属于全球统一无效地址)用于临时通信
租约长短看实际情况
只要协议达成,租约不过半,ip地址就算是不用也无法收回
*dhcp部署
(1)ip地址固定(服务器必须固定ip地址)
(2)安装dhcp服务插件(服务器组件安装将会开启新端口)
双击光驱
开启了67,68两个端口(端口即为大门,有端口开放才能互相通信)
服务器有问题先检查端口,端口开着才证明服务器在工作
(3)创建地址池,作用域
dhcp选项:网关,dns,ip等信息
虚拟机中关闭自带的dhcp服务器
dhcp设置的ip地址要和服务器的地址保持在同一网段
ipconfig /release释放ip,解除ip租约
ipconfig /renew 没有地址:重新获取地址 有地址:续约,
(4)地址保留
将一个地址保留下来,不进行自动配给
以mac地址作为唯一标识
(5)dhcp作用域备份
右键备份,存储备份文件
右键还原,找到备份文件进行还原
(6)服务器误删
右键添加服务器,浏览,高级,搜索,找到本机上所有的服务器进行添加
(7)服务器选项可以将dns把所有作用域都设置
作用域选项优先级高于服务器选项优先级
*dhcp服务器攻击
频繁发送伪装的dhcp请求,直到将dhcp地址池的资源耗尽
在管理型交换机上进行防御:在端口上做动态绑定
伪装dhcp服务器攻击,通过将自己部署为dhcp服务器,为客户机提供非法ip地址
交换机上,除合法的dhcp服务器所在接口外全部设置为禁用