DHCP (动态主机配置协议)部署和安全
- DHCP 作用
自动分配 ip 地址
- DHCP 相关概念
地址池/作用域:(ip,子网掩码,网关,DNS,租期)
- 端口
DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口。
- 优点
减少工作量,避免 ip 冲突,提高地址利用率
- DHCP原理(租约过程)
步骤:
1. 发送 DHCP Discovery 广播包
客户机广播请求 ip 地址(mac)
2. 响应 DHCP Offer 广播包
服务器响应提供的 ip 地址(无掩码,网关)
3. 客户机发送 DHCP Request 广播包
客户机选择 ip(也可确认使用哪个 ip地址,请求掩码,网关等信息)
4. 服务器发送 DHCP ACK 广播包
服务器确认租约之后,响应客户机选择的 ip 地址详情
DHCP 续约
当租约 50%过后,客户机再次发送 DHCP request 报文,进行续约,如果服务器没有响应,则继续使用在并在87.5%再次进行发送 request 报文,进行续约,如仍无响应,释放原先 ip 地址,则重新发送 DHCP Discovery 报文,当任何服务器无响应时,自动给自己分配一个 169.254.x.x/16 的随机地址。
部署 DHCP 服务器
-
ip 地址固定
-
安装 DHCP 服务插件
-
新建作用域和作用域选项
-
激活
-
客户机验证
地址保留
对于指定的 mac 地址,固定动态的分配 ip 地址
DHCP Relay 中继
如果客户机和服务器在同一个物理网段,客户机可以正确的获得动态分配的 ip 地址,如果不在同一个物理网段,则需要 dhcp relay 中继代理
DHCP 的攻击和防御
- 1.
攻击 DHCP 服务器:频繁的发送伪装的 DHCP 的 disrecovey 报文,将 DHCP 的地址耗尽。
防御:在交换机的端口上做动态 MAC 地址绑定。(还有静态绑定,常用于银行,证券)
- 2.
伪装 DHCP 服务器攻击:hack 通过将自己部署为 DHCP 服务器,为客户机提供非法的 ip 地址。
防御:在交换机上除合法的服务器所在接口,其余禁止发送 DHCP 的 offer包。