[转]车小胖谈网络:DHCP 与 DHCP Relay

最新推荐文章于 2024-04-25 12:01:14 发布
最新推荐文章于 2024-04-25 12:01:14 发布
阅读量3.4k 收藏 5
点赞数
分类专栏: ETH基础

http://blog.sina.com.cn/s/blog_1533e35800102wyli.html

http://blog.sina.com.cn/s/blog_1533e35800102wyli.html

http://blog.sina.com.cn/s/blog_1533e35800102wyli.html


一个人生病的时候才能深刻地知道,健康的身体比什么都重要!网络无处不在,平时很难感受到它的存在,只有当网络发生故障,才能感受它的存在、它的重要性! 我们今天来谈谈DHCP的话题,以及它的安全漏洞以及应对措施!


什么是DHCP?

Dynamic Host Configuration Protocol,动态主机配置协议,很拗口,它主要用来给用户的电脑分配IP地址等,如果运气好,这个过程是自动的,不需要用户任何干预,运气不好,看完这篇文章也许你就会知道问题出在哪里,自力更生,自己排错!


DHCP是如何工作的?

电脑在启动的时候,会发送一个广播包,名称为:DHCP discovery,为了在广播域里找到DHCP服务器,格式如下:
二层Mac地址为:0xFF FF FF FF FF FF
三层IP地址为:255.255.255.255
四层协议为:UDP Port 67
五层:DHCP discovery 
通过网卡发送到以太网。


以太网通过Hub、网桥、二层交换机(假定只有VLAN 1)连接的所有电脑,都在一个广播域里,都会收到这条消息,消息会上传到IP层,IP层发现本地没有提供UDP 67的服务,纷纷丢弃;

而DHCP 服务器发现本地可以提供UDP Port67
的服务,于是DHCP报文上传给DHCP服务来处理,服务器发DHCP offer消息,这个消息一单播unicast的方式直接发给此电脑,假定此电脑的Mac为:0x11 11 11 11 11 11 ,那消息格式如下:

二层目的Mac地址:0x11 11 11 1111 11

二层源Mac: 0x 22 22 22 22 22 22

三层目的IP地址:255.255.255.255

三层源IP地址:10.1.1.254

四层协议:UDP Port 68

五层协议:DHCP offer,报文消息里包含有:分配电脑的IP是10.1.1.2/24,网关10.1.1.1,DNS server
10.1.1.1,并通过网卡发送到以太网。


此电脑收到offer消息,先ping一下10.1.1.2,看是否可以ping通?如果可以,说明此地址已经被使用,发information消息给服务器,告知情况,服务器从自己的地址池重新选择,再重复步骤2,如果没有ping通,说明可以使用,于是可以发送DHCP request,请求服务器批准同意,由于已经知道DHCP的IP地址,此消息使用单播的方式发送出去。


服务器收到request之后,发送确认消息ACK给电脑主机,电脑收到此消息,就完成了电脑IP地址得配置工作。以上就是DHCP的整个工作流程,有同学会问:DHCP是通过广播方式工作的,那岂不是每个广播域(网段)都要有一台DHCP服务器?那也太笨拙了!我们可以采用DHCPRelay方式来克服这个困难,那什么是DHCP Relay呢?


什么是DHCP Relay?

一个网段里有这么一种角色,可以把收到的DHCP广播报文修改一下,变成一个目的IP地址为DHCP server的单播报文,因为它知道server 的IP地址,这个角色就是DHCP Relay,再把从server端返回的offer,ACK等单播报文变回广播报文,再发给电脑主机。

那有一个问题,服务器怎么知道从哪个地址池分配IP地址给电脑主机呢?一个地址池对应一个网段,比如10.1.1.0/24是一个网段,10.1.2.0/24代表的是另一个网段,那好办,和DHCP Relay 在同一个网段就可以了,所以Relay在做二传手的时候,在DHCP discovery报文里添加了自己的地址,格式为:Gateway IP Address:10.1.1.1,那服务器就知道原来这是10.1.1.0/24网段发过来的请求信息,那我就选择10.1.1.0/24这个地址池,分配10.1.1.2/24就万事大吉了!


那DHCP的安全漏洞是什么呢?

如果一个邪恶软件伪造不同的Mac地址,不断发送DHCP discovery,比如1000个,如果没有安全措施,DHCP server很有可能就分配1000个IP地址给它,因为server是根据client Mac来分配IP的,这样很快就可以把地址池资源耗尽,其它的用户因为没有地址可用而无法上网!

应对方法:配置DHCP option 82,DHCP discovery途径二层交换机时,交换机修改报文,增加option 82信息,即这条消息是从哪个端口收到的,把这个端口信息添加到DHCP discovery 报文里,服务器根据 client Mac 交换机端口号来分配IP,即任意一个交换机端口最多分配一个IP,即使用不同的Mac来请求也是一个!

这就是DHCP反欺骗措施,DHCP Anti-Spoofing!


unsv29
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
S3600系列交换机DHCP Relay的配置教程
10-01
本文将详细介绍S3600系列交换机DHCP Relay的配置细节,需要的朋友可以参考下
dhammer:DHCP压力测试仪和基准测试工具
05-24
Dhammer可以充当“本地” DHCP客户端广播数据包,也可以模拟DHCP中继,使您可以测试本地网络外部的DHCP服务器,还可以避免路由器可能具有的任何潜在的广播风暴防护措施。 还可以使Dhammer将所有分配的IP绑定到回送...
华为DHCP relay(中继)配置教程
01-09
注: 如果DHCP客户端和DHCP服务器不在同一网段内,需要DHCP中继负责DHCP服务器与DHCP客户端之间的DHCP报文发,这样可以避免在每个网段部署DHCP服务器,节约成本,方便管理。 DHCP服务器和DHCP客户端之间的DHCP报文中继次数不能超过16次,否则DHCP报文将被丢弃。 设备作为DHCP中继时,如果使能了STP功能,可能会造成地址分配较慢。STP功能缺省处于使能状态,如果确认不需要使能STP功能,可以执行命令undo stp enable去使能STP功能。 当DHCP客户端与DHCP服务器经过三层设备相连时(不在同一网段),需要DHCP中继设备在中间担当一个代理角色,负责
DHCP Relay
weixin_34184158的博客
01-08 4262
DHCP Relay目录DHCP Relay 简介 DHCP relay 原理 DHCP relay 配置 中继代理在windows中的配置 编辑本段DHCP Relay 简介  DHCPRelayDHCPR)DHCP中继 也叫做DHCP中继代理   如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP R...
DHCP Relay配置与抓包
最新发布
weixin_58574637的博客
04-25 356
前言:DHCP请求报文是以广播包方式发送的,当DHCP服务器与DHCP客户端不在同一网段时,就需要在三层网关设备配置DHCP中继功能。2. DHCP服务器接收到DHCP DISCOVER报文后,选择与报文中Giaddr字段为同一网段的地址。▫ 检查DHCP报文中的Hops字段,如果大于16,则丢弃DHCP报文;池,并为客户端分配IP地址等参数,然后向Giaddr字段标识的DHCP中继单播发送DHCP。▫ 将DHCP报文的目的IP地址改为DHCP服务器或下一跳中继的IP地址,源地址改为中继。
[]小胖网络:IP协议
unsv29的专栏
08-02 1112
一直纠结于该怎样写我的网络之旅,开始不是很清晰,现在写着写着开始清晰了,那就是用亲爱读者可以懂的语言来阐述技术,有血有肉,而不是冷冰冰技术的堆积。读者里有我远在大洋彼岸的同桌,有初中、高中、大学、研究生的老同学,有一起工作奋斗的同事兼老朋友,有自己的兄弟姐妹,还有默默支持我的陌生的朋友,感谢您们!没有您们的支持,到第三篇就可能放弃了。为了回馈朋友们的支持,决定从网络最基础的元素开始,一点点讲起,如
DHCP relay 原理
weixin_34203426的博客
01-08 4640
DHCP relay 原理     1 当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文。     2 如果本地网络存在dhcp server,则可以直接进行dhcp 配置,不需要dhcp relay。     3 如果本地网络没有dhcp server,则与本地网络相连的具有dhcprelay 功能的网络设备收到该广播报文后,将进行适当处理并发给指定...
DHCP Relay 简介
weixin_34260991的博客
06-13 458
DHCP RelayDHCPR)DHCP中继 也叫做DHCP中继代理  如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给...
dhcp relay topo.rar
09-30
DHCP(动态主机配置协议)是一种网络协议,用于自动分配IP地址和其他网络配置参数给网络上的设备。在大型网络环境中,尤其是跨越多个网络段时,DHCP中继(也称为DHCP代理)扮演了关键角色。它允许DHCP服务器与不在...
H3C_DHCP中继基础配置案例
04-20
DHCP (动态主机配置协议) 是一种网络管理协议,用于自动分配IP地址、子网掩码、默认网关等网络参数给网络中的设备。在H3C的网络设备中,DHCP中继是一种实现跨VLAN或物理隔离的网络环境分配IP地址的方法。在这个基础...
dhcp relay
jackywgw的专栏
09-16 862
dhcp relay 原理及报文交互
关于dhcp relay工作原理的解析
Working harder, getting stronger!
01-04 2887
关于dhcp relay工作原理的解析
DHCP Relay的介绍
杨奇的博客
04-30 6892
DHCP Relay DHCP RelayDHCP中继(也叫做DHCP中继代理),其可以实现在不同子网和物理网段之间处理和DHCP信息的功能 如果DHCP客户端与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的IP地址。 如果不在同一个物理网段,则需要DHCP RelayDHCP中继代理) ...
抓包分析DHCP Relay工作原理详解
qq_41304707的博客
12-25 890
DHCP RelayDHCP中继)是一种网络服务,用于在不同子网或物理网段之间DHCP请求和响应。当DHCP客户端和DHCP服务器不在同一物理网段时,DHCP中继代理设备介入,以确保DHCP服务的正常运作in和out。in方向(内向):当DHCP客户端发送DHCP请求(如DHCP DISCOVER或DHCPREQUEST)时,中继代理会将请求捕获并发给指定的DHCP服务器。中继代理在这个过程中充当客户端和服务器之间的桥梁,确保DHCP请求能够成功传递到服务器。
DHCP Relay DHCP Snooping
06-25 267
一、DHCP Relay简介用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机。二、DHCP Relay原理1 当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文。2 如果本地网络存在dhcp server,则可以直接进行d...
路由交换基础——DHCP工作原理及DHCP Relay
LiBai'S BLOG
10-06 5024
IP地址自动获取????技术背景????DHCP????DHCP应用场景????DHCP配置????DHCP Relay????免费福利 ????技术背景 网络复杂度的不断提高伴随着网络规模的不断扩大,计算机的数量经常超过可供分配的IP地址数量。便携设备及无线网络的广泛使用也导致计算机的位置也经常变化,相应的IP地址也必须经常更新。所以需要一种技术,能动态合理地为主机分配IP地址。 ????DHCP Dynamic Host Configure Protocol,动态主机配置协议 Windows PC中的
DHCP replay
kuaizai__的博客
07-18 218
DHCP replay [V200R003C00] # sysname server # dhcp enable # ip pool vlan-2 gateway-list 192.168.2.254 network 192.168.2.0 mask 255.255.255.0 # ip pool vlan-3 gateway-list 192.168.3.254 network 192.168.3.0 mask 255.255.255.0 #
[]小胖网络(基础篇):同一网段的主机如何通信
unsv29的专栏
03-27 1092
http://blog.sina.com.cn/s/blog_1533e35800102wyqd.html http://blog.sina.com.cn/s/blog_1533e35800102wyqd.html http://blog.sina.com.cn/s/blog_1533e35800102wyqd.html 最近读者反映文章还要普及一下基础知识,比如专业术语,比

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值