(Dynamic动态 Host Configure配置 Protocol)
- 作用:自动分配IP地址
- 地址池/作用域:(IP,子网掩码,网关,DNS,租期,租约是24小时),DHCP的协议端口号 UDP 67 68
- 优点:减少工作量,避免IP冲突,提高地址利用率。
- 原理:也称为DHCP租约过程,分为4步(原理同租房,先发送租房请求,房东回应,确认租房,房东给钥匙)
- 发送DHCP Discovery广播包:客户机广播请求IP地址(包含客户机的MAC地址)服务器得知道是谁发的,然后给谁响应,所以客户机得把自己的地址广播出去(这个协议是请求IP地址,所以发送MAC地址)
- 服务器响应DHCP Offer广播包:(只给IP)
- 客户机发送DHCP Request广播包:客户机选择IP(也可认为用哪个IP)
- 服务器发送DHCP ACK广播包:服务器确定了租约,并提供网卡详细参数IP,掩码,网关,DNS,租期等
DHCP攻击发送DHCP Discovery广播包,伪造MAC地址,消耗DHCP IP地址
防御:攻击服务器:交换机端口做动态(网线一拔也没了)MAC地址绑定【第一步,多台客户机伪造MAC地址】
攻击客户机:交换机可以把任何攻击拍死在萌芽(拒绝其他DHCP服务器发送offer)【第二步,多台服务器向客户机发送offer广播包】
- DHCP续约:当时间过50%,客户机再次发送request包续约
服务器发送ACK。
如果服务器未响应,则在87.5%再次request,如仍然未响应,释放IP地址,发送discovery。当无任何服务器响应时,自动给自己分配一个169.254.x.x/16(属于全球统一无效地址,用于内网通信)
- 部署DHCP服务器
- IP地址固定:查看客户机是否有IP,有的话禁用网卡,或者release释放IP
- 安装DHCP服务插件
- 新建作用域以及作用域选项,
- 激活(有的在设置中没有选择激活,直接右击激活就行了)
- 客户机验证(renew ,release)
没网的话:renew ,release ,手动配置
手动配的话,换个地方又没网了。还是得换回自动获取。
关机不会影响租约(不会释放地址)
客户机毁约的两种情况(1.release,禁用,以及拔掉网线 释放IP 2.改为手动配置也是毁约,它相当于是不用服务器给你配的了)
选择保留,可以固定IP,就是每次从家回到公司都是这个IP【通过MAC地址】
备份还原:直接选择右击,备份还原,剩下的操作就很简单。
如果把服务器删了,可以还原(他只是不显示了)右击,添加服务器,浏览,高级,查找。可以把所有的服务器扫出来。
要先关闭防火墙。
服务器IP地址和要提供网段的地址要一直。(也可以跨网段实现 DHCP中继)
优先级:服务器,右击,配置选项 (DNS)//如果作用域多的话不用每个都添加,直接在服务器选项里面可以全都配置了(因为情景是一个公司不同网段,所以一个DNS即可,但是网关必须单独配置)
如果要单独,在本作用域中右击配置即可。(自己的选项高于服务器配置的选项。)
作用域选项高于服务器选项
DHCP攻击与防御
攻击DHCP服务器,频繁发送伪装DHCP请求,知道把地址池资源耗尽。(结果就是都上不了网)
防御:管理型交换机,在交换机端口上动态MAC地址绑定。
伪装DHCP服务器攻击:hack将自己部署为DHCP服务器,为客户机提供非法IP地址。
防御:在交换机上,除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP Offer包。
扫一扫
2078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
