注:本笔记来自温晓飞老师的网络安全课程
第十章:DHCP部署与安全
第一章:虚拟化架构与系统部署
第二章:IP地址详解
第三章:进制转换
第四章:DOS基本命令与批处理
第五章:用户与组管理
第六章:服务器远程管理
第七章:NTFS安全权限
第八章:文件共享服务器
第九章:DNS部署与安全
第十章:DHCP部署与安全
第十一章:WEB服务器和FTP服务器
第十二章:域
第十三章:PKI
第十四章:渗透简单测试流程
第十五章:扫描与爆破
第十六章:OSI与TCP-IP5层协议
第十七章:物理层(physical layer)
未完待续
文章目录
一、DHCP作用
DHCP(Dynamic Host Configure Protocol ),作用是自动分配IP地址
二、DHCP相关概念
地址池/作用域:(IP、子网掩码、网关、DNS、租期)
DHCP协议端口是UDP 67/68
三、DHCP优点
减少工作量、避免IP冲突、提高地址利用率
四、DHCP原理
也称为DHCP租约过程,分为4个步骤:
- 客户机发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
- 服务器响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
- 客户机发送DHCP Request广播包
客户机选择IP (也可认为确认使用哪个IP)
- 服务器发送DHCP ACK广播包(ACK=确认)
服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
五、DHCP续约
1、当50%过后,客户机会再次发送DHCP Request包,进行续约; 、
2、如服务器无响应,则继续使用并在87.5%再次 DHCPRequest包,进行续约;
3、如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址;
4、当无任何服务器响应时,自动给自己分配一个169.254.X.X/16,属于全球统一无效地址,用于临时内网通信!
六、部署DHCP服务器
- IP地址固定(服务器必须固定IP地址)
地址预留:注意为服务器预留ip,比如预留出前多少个ip给服务器。 - 安装DHCP服务插件
- 新建作用域及作用域选项
(1)新建作用域:给服务器预留ip,同时在后面写到250就行。
(2)作用域选项
1、设置默认网关(要和公司的真正网关吻合)
2、域名称和dns服务:ip地址运营商会给,将运营商给的ip地址填入,或者上网查。
3、 wins服务器已淘汰,直接忽略;
- 激活
地址池已经设置好,根据实际情况检查其他方面没问题之后再激活。
- 客户机验证:
命令:ipconfig /release
作用:释放IP (取消租约,或者改为手动配置IP ,也可以释放租约)
命令:ipconfig /renew
作用:重新获取IP (有IP时,发送request续约,无IP时发送Discovery重新获取IP )
七、地址保留
- 对指定的MAC地址,固定动态分配IP地址,支持类型选择两者
命令:ipconfig /all
作用:查看该电脑所有与ip相关的信息。
八、选项优先级
作用域选项>服务器选项
当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器
九、DHCP备份
备份服务器的所有作用域,当服务器宕机后,可以使用备份文件在其他DHCP服务器上进行还原所有配置
注:如果服务器开着防火墙,那么服务器将无法为客户机提供服务。
注:服务器的ip和自己要提供的ip要一致。
十、练习
1、部署DHCP服务器,并在客户机上验证,并练习ipconfig /release与ipconfig /renew
2、设置DHCP地址保留
3、练习备份和还原
十一、DHCP攻击与防御
- 攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽 防御:在交换机(管理型)的端口上做动态MAC地址绑定
- 伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址
- 防御:在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP offer包
- 配置方法:通过命令配置,可以看厂家提供的配置手册。