DHCP部署与安全
- DHCP作用
(Dynamic Host Configuration Protocol)自动分配ip地址
2. DHCP相关概念
地址池/作用域:(IP,子网掩码,网关,DNS,租期) ,
3. DHCP优点
减少工作量,避免ip冲突,提高地址利用率
4. DHCP原理
也叫DHCP租约过程,分4个步骤:
1、发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2、响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码,网关等参数)
3、客户机发送DHCP Request广播包
客户机选择IP(也可认为确认使用哪个IP)
4、服务器发送DHCP ACK广播包(ACK 确认的意思)
服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS,租期等
- DHCP续约
当50%过后,客户机会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用并在87.5%再次发送DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址,当无任何服务器响应时,自动分配一个139.254.x.x/16全球统一无效地址不能上网但是能用于临时内网通信!
6、部署DHCP服务器
开启的端口
10.1.1.1:67
10.1.1.1:68
- IP地址固定(服务器必须固定IP地址)
- 安装DHCP服务插件
- 新建作用域及作用域选项
- 激活
- 客户机验证
ipconfig /release 释放ip相当于直接解除租约(取消租约,或者改为手动配置ip,也可以释放租约)
ipconfig /renew 发送广播包获取IP(有ip时发送Request续约,无ip时发送Discovery重新获取IP)
当有ip地址时用ipconfig /renew是续约
7、地址保留
这对指定的MAC地址,固态动态分配地址
8、选项优先级
作用域选项>服务器选项
**当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器
9、DHCP攻击与防御
-
攻击DHCP服务器:频繁发送伪装DHCP请求(伪造MAC地址)直到将DHCP地址池资源耗尽
防御:在交换机(管理型)的端口上做动态MAC地址绑定 -
伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法IP地址
防御:在交换机上,除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP offer包
104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
