DHCP部署与安全

DHCP作用

DHCP主要作用就是自动分配ip地址

DHCP相关概念

地址池/作用域：（ip地址、网关、子网掩码、DNS、租期），DHCP的协议端口号是UDP67/68

DHCP优点

减少工作量，避免ip冲突，提高地址利用率

DHCP原理

也叫DHCP租约过程，分为四步：

1. 客户端发送DHCP Discovery 广播包
   客户机广播请求IP地址（包括客户机的唯一标识mac地址）
2. DHCP响应DHCP Offer广播包
   服务器响应提供的ip地址（但无子网掩码，网关等信息）
3. 客户机发送DHCP Requeset广播包
   客户机选择ip（也可认为确认使用哪个ip）
4. 服务器发送DHCP ACK广播包
   服务器确定了租约，并提供网关详细参数ip（ACK—确认）

DHCP续约

当约期到达50%时，客户机将发送DHCP Requset包，进行续约，如果无响应，则继续在使用至87.5%的时候发送DHCP Request包，继续续约，如仍然无响应，则释放ip地址，及重新发送DHCP Discovery广播包来获取ip地址，当无任何服务器响应时，自动给自己分配一个169.254.x.x/16，属于全球统一无效地址。

部署DHCP服务器

1. ip地址固定（服务器必须规定ip地址）
2. 安装DHCP服务插件
3. 新建作用域及作用域选项
4. 激活
5. 客户机验证
   ipconfig /release 释放ip（取消租约，或者改为手动配置ip，也可以释放租约）
   ipconfig /renew 重新获取ip（已有ip时，发送request续约，无ip时发送discovery重新获取）

地址保留

对于指定的mac地址，固定动态分配ip地址

选项优先级

作用域选项>服务器选项
**当服务器上有多个作用域时，可以在服务器设置DNS服务器

DHCP攻击与防御

1. 攻击DHCP服务器：频繁的发送伪装DHCP请求 ，直到将DHCP服务器资源耗尽
   防御：在交换机（管理型）的端口上做动态mac地址绑定，
2. 伪装DHCP服务器攻击：hack将自己部署为DHCP服务器，为客户机提供非法IP地址
   防御：在交换机上，除合法的DHCP服务器所在接口外，全部设置为禁止发送DHCP Offer广播包。