DHCP部署与安全

七、DHCP部署与安全

7.1 DHCP概述

• (Dynamic Host Configure Protocol)自动分配IP地址
• 地址池/作用域：(IP、子网掩码、网关、DNS、租期)，
• DHCP协议端口是 UDP 67/68
• DHCP优点：减少工作量、避免IP冲突、提高地址利用率

7.2 DHCP原理

也成为DHCP租约过程，分为4个步骤：

1）客户机发送DHOP Discovery广播包

客户机广播请求IP地址(包含客户机的MAC地址)

2）服务器响应DHCP Offer广播包

服务器响应提供的IP地址(但无子网掩码、网关等参数)

3）客户机发送DHCP Request广播包

客户机选择先响应的服务器

4）服务器发送DHCP ACK广播包

服务器确定了租约，并提供网卡详细参数IP、掩码、网关、DNS、租期等

7.3 DHCP续约

当50%过后，客户机会再次发送OHCP Request包，进行续约，如服务器无响应，则继续使用。

并在87.5%再次 DHCP Request包，进行续约，如仍然无响应，并释放IP地址，及重新发送DHCP Discovery广播包来获取IP地址。

当无任何服务器响应时，自动给自己分配一个169.254.×.x/16,属于全球统一无效地址，用于临时内网通信！

7.4 部署DHCP服务器

1）IP地址固定(服务器必须固定IP地址)

2）安装DHCP服务插件

3）新建作用域及作用域选项

4）激活

5）客户机验证：

ipconfig /release       # 释放ip（取消租约）
ipconfig /renew         # 重新获取IP（有IP时，发送request续约，无IP时发送Discovery重新获取IP）

7.5 地址保留

对指定的MAC地址，固定动态分配IP地址

7.6 DHCP攻击与防御

1）攻击DHCP服务器：频繁的发送伪装DHCP请求，直到将DHCP地址池资源耗尽

防御：在交换机（管理型）的端口上做动态MAC地址绑定

2）伪装DHCP服务器攻击：hack通过将自己部署为DHCP服务器，为客户机提供非法ip地址

防御：在交换机上（管理型），除合法的DHCP服务器所在接口外，全部设置为禁止发送dhcp offer包