文章目录
·部署DHCP与安全
一、DHCP作用
(Dynamic Host Configuration Protocol)自动分配IP地址
二、DHCP相关概念
地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP的协议端口是UDP 67/68
三、DHCP优点
减少工作量
避免IP冲突
提高地址利用率
四、DHCP原理
也称为DHCP租约过程,分为4个步骤:
1、发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2、响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等)
3、客户机发送DHCP Request广播包
客户机选择IP(也可以认为确认使用哪个IP)
4、发送DHCP ACK广播包
服务器确认了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
五、DHCP续约
当租约过50%后,客户机会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用至87.5%再次发送DHCP Request包,进行续约,如仍然无响应,并释放IP,即重新发送DHCP Discovery广播包来获取IP地址
当无任何服务器响应时,自动给自己分配一个192.254.x.x/16,属于全球统一无效地址,用于临时内网通信!
六、部署DHCP服务器
注:客户机与服务器必须在同一网段
1、IP地址固定(服务器必须固定IP地址)
2、安装DHCP服务插件
一般安装包都在光盘镜像中(win2008安装包在电脑中)
打开我的电脑—双击光盘
3、新建作用域及作用域选项
开始菜单—所有程序—管理工具—DHCP
右键主机—新建作用域
分配IP时预留一部分作为备用或添加服务器时使用
添加排除IP(不会分配的IP)
若只添加起始IP地址,则只添加这一个禁用地址
设置租期
添加网关(连接外网)
添加DNS服务器
4、激活
激活后检查配置好的DHCP服务
地址池
作用域
5、客户机验证:
登录客户机并自动获取IP地址
此时可以在服务器中看到,租约表单中有了客户机IP
唯一ID:客户机的MAC地址
附:两条命令
ipconfig /release 释放IP(取消租约,或者手动配置IP地址,也可以释放租约)
ipconfig /renew 重新获取IP(当客户机有IP时,发送Request续约,无IP时,发送Discovery获取IP)
释放IP
此时可以重新获取IP
发送Discovery广播包重新获取IP
七、地址保留
针对指定的MAC地址(指定客户机),固定动态分配IP地址
此时,用此客户机自动配置IP时,将自动分配此IP
注:若服务器开启防火墙,将无法完成此实验,防火墙默认禁止访问67/68端口
八、DHCP备份
将备份文件夹存储在硬盘或U盘中,如果服务器崩溃,点击还原,找到文件夹即可恢复,不用再重新部署(做此实验只需要删除作用域即可,不需要删除服务器)
如果误删服务器(只是在控制台看不到了)
右键DHCP—添加服务器—找到服务器主机名,添加即可
九、选项优先级
重新建两个作用域
配置DHCP选项时选择否
激活两作用域
此时两作用域的作用域选项均没有东西
可以看到,在两个作用域同级分栏下,还有一个服务器选项
当我们右键配置选项时,选择DNS服务器并为其添加IP地址
刷新后,我们惊奇地发现,作用域选项中有了DNS服务器
但是因为两作用域网段不同,需要分别为其配置网关
当我们没有单独地为作用域配置DNS服务器IP时,它会继承服务器选项配置的DNS服务器,如果作用域配置了自己的DNS服务器IP,那么就会用自己的
也就是说,作用域选项优先于服务器选项
当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器
十、DHCP攻击与防御
1、攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御方案:在交换机上(管理型)的端口上做动态MAC地址绑定
2、伪装DHCP服务器攻击:hacker通过将自己部署为DHCP服务器,为客户机提供非法IP地址
防御方案:在交换机上(管理型),除合法的DHCP服务器接口外,全部设置为禁止发送DHCP Offer包
732
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
