HCNP-RS笔记-20180114-day11

DHCP 中继：用于DHCP server与client不同一个网段时，协助Server与CLient进行

DHCP通信

中继过程

1，Client发送DHCP 数据包，中继在收到后将DHCP 数据封装进IP单播

数据包，同时加上DHCP中继ＩＰ地址，发送给ＤＨＣＰServer

2,DHCP server在收到数据包查看发现为DHCP数据，根据中继ＩＰ地址为具体地址

则判断改数据包是中继发送过来。则将ＤＨＣＰ　数据包封装进单播中发送给

中继（注意：目的IP地址为中继ＩＰ地址）

３，中继在收到ＤＨＣＰ　Ｓｅｒｖｅｒ数据包后，将单播头部去掉，将中继IP地址

清除，将DHCP数据包发送给Client

DHCP 饿死攻击：发送大量DHCP请求将Server地址池耗尽，使得Server无法为合法主机

系统IP地址

冒充DHCP Server：充当DHCP server向网络中提供IP地址，使合法主机学习到错误的

IP地址

DHCP snooping：在交换机开启侦听DHCP通信数据包

防止冒充DHCP:在开启后所有端口都成为untrust端口，只接受trust端口offer信息

只将 DIscover数据包发送trust 端口

防止饿死攻击：1，核对DHCP数据包是否合法，例如Request数据包中源MAC与DHCP中

ClientMAC地址是否一致，一致则放行通过，反之丢弃；限制DHCP 请求速度

中间人攻击：收到ARP消息后，攻击者将自己MAC地址回复在ARP请求设备，使得

请求者生成错误IP与MAC绑定关系，后续数据发送给攻击者。