DHCP部署与安全

                                                       DHCP部署与安全

---

目录

                                                       DHCP部署与安全

前言：

目标：

理论：

一：DHCP的作用

二：DHCP相关概念

三：DHCP的优点

四：DHCP原理

原理分析：

攻击源：

五：DHCP续约

注意：

部署DHCP服务器

一：部署环境

二：部署过程总概

1.过程

2.总结：

---

前言：

全称Dynamic Host Configuration Protocol，意思就是动态主机配置协议，DHCP是一个局域网的网络协议。它指的就是服务器控制一段IP地址的范围，客户端（客户机）在登录服务器的时候就可以自动获得一个由服务器分配的IP地址和子网掩码。简单说就是用户连接后，DHCP服务器给连接的用户分配一个IP和子网掩码。通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

目标：

DHCP服务器如何部署，连接DHCP服务器是如何工作的和DHCP安全防御

理论：

一：DHCP的作用

一句话概括：给客户机分配IP

二：DHCP相关概念

一句话总结：地址池（作用域）：（IP、子网掩码、网关、DNS、租期），DHCP协议端口是UDP67/68

一个PC要是想要上网就必须要有子网掩码、网关、IP、DNS这四样，为了I提高P地址的利用率，所以就有了租期，总不能让你无限制的使用这个IP地址啊，比如说，你上线一个小时，DHCP服务器也会给你一个IP，你下线了，这个IP还是上线这台服务器的，但是这台PC以后要是不在用了，不就浪费了嘛，所以就有了租期。对使用进行限制，不用了就回收到地址池里面。我们部署DHCP的过程其实就是创建地址池的过程。

三：DHCP的优点

一句话总结：减少工作量，避免IP冲突、提高地址利用率

整个网络中有着许多的PC，当需要入网的时候，我们需要给这些IP分配一个IP，少的话，一个一个的配置还可以，但是几百台或者上千台怎么办，挨个配置是不是有点不现实了，你就说麻不麻烦吧；而且万一配错了或者配置IP重复了怎么办，这些都是问题。所以DHCP服务器就解决了这个问题。

四：DHCP原理

原理分析：

DHCP原理也称为DHCP租约的过程，四个步骤（）租房子一样，我要租房（发送广播），我有房（开始回应），谁相应先到达，就选择谁

1）客户机发送DHCP Discovery广播包

        客户机广播请求IP地址（包含客户机的MAC地址），同时发送我是谁的信息，在发送的时候服务器也会收到。发现服务器的过程

2）服务器响应DHCP offer广播包

        服务器在收到请求后，做出响应，在地址池里面找一个没有被占用的IP然后放到Offer包里面，可能收到一份或者多份Offer

3）客户机发送DHCP Request广播包

        客户机选择IP（在多个offer里面选择），确认使用那个IP。变相告诉其他服务器，我选择这个IP地址，有些服务器回给一个回复（丢个包给你），有些服务器不给回复

4）服务器发送DHCP ACK广播包

        服务器确定租约，并提供详细的网卡参数IP、子网掩码、网关、DNS、租期等信息。

攻击源：

傻瓜式交换机 企业级管理型交换机

第一步：伪造MAC地址，耗光地址池资源（直接干掉服务器）

比如一台交换机，当客户端登录，然后将IP请求通过交换机发送到DHCP服务器的时候，DHCP服务器接收到后将IP的offer包发给这个PC，并且会将你的MAC地址和这个端口进行绑定（交换机口进行MAC地址的动态绑定），这个时候当PC第二次发送广播包请求的时候，交换机就会将之前这台发送广播包PC的端口绑定的进行比对，发现你这个同一个端口发送请求的时候是两个MAC地址，交换机就会做出处理方式是把这个端口给你干掉还是在服务器那端进行报警，这时候交换机就会做出响应这个端口就上不了网了。解决办法就是进行网络端口加固。

第二步：在交换机端口处部署DHCP服务器（干掉一部分客户机）。

当客户机连接到服务器后向DHCP服务器发送广播，这时候假的那台服务器和真的这台服务器都会收到这个广播包，两台DHCP服务器都会做出响应，然后发送offer广播包，因为DHCP谁回应早用谁的原因，这个时候假如真的DHCP服务器有延迟，客户机先收到了假的DHCP服务器的offer广播包，那么客户机就会选择这台假的DHCP服务器，然后就上不了网了，因为租期的原因，只有等租期结束你才会连入真的DHCP服务器。解决办法就只能是把这台假的服务器揪出来，处理掉；或者对所有端口进行设置，除了DHCP服务器的端口，禁止其他端口发送offer广播包（屏蔽发送offer包）。

五：DHCP续约

当服务器租约过50%的时候，客户机会再次发送DHCP Request包，在客户机第三次发送DHCP Request广播包的时候，发的这个Request的包相当于一个续约包，然后服务器会给一个ACK，告诉客户机续约成功。如果服务器无响应，则继续使用并在87.5%的时候再次DHCP Request包，进行续约，如果仍没有响应，客户机就会释放IP地址，以及重新发送DHCP Discovery广播包来获取IP地址。当无任何DHCP服务器响应时，自动分配一个169.254.x.x/16的地址（一个全球统一的无效地址）

注意：

续约的时间是在你发送续约的基础上再加对应的租约时间，比如租约为1年，等过50%的时候，续约的租约时间就变成了一年半，不然应该是两年。

部署DHCP服务器

一：部署环境

Windows 7 Windows 2008 交换机（虚拟网络编辑器）

二：部署过程总概

1.过程

• 1. IP地址固定
  2. 安装DHCP组件
  3. 新建作用域以及作用域选项
  4. 激活
  5. 客户机验证

ipconfig /release 释放IP

ipconfig /renew 重新获取IP

2.总结：

让客户机和服务器在同一个网络里面，然后部署服务器，之后客户机访问服务器验证。

具体部署稍后再写