《网络安全工程师笔记》 第十章:DHCP部署与安全

注:本笔记来自温晓飞老师的网络安全课程

第十章:DHCP部署与安全

第一章:虚拟化架构与系统部署
第二章:IP地址详解
第三章:进制转换
第四章:DOS基本命令与批处理
第五章:用户与组管理
第六章:服务器远程管理
第七章:NTFS安全权限
第八章:文件共享服务器
第九章:DNS部署与安全
第十章:DHCP部署与安全
第十一章:WEB服务器和FTP服务器
第十二章:域
第十三章:PKI
第十四章:渗透简单测试流程
第十五章:扫描与爆破
第十六章:OSI与TCP-IP5层协议
第十七章:物理层(physical layer)


未完待续

文章目录

  • 第十章:DHCP部署与安全
    • 一、DHCP作用
    • 二、DHCP相关概念
    • 三、DHCP优点
    • 四、DHCP原理
    • 五、DHCP续约
    • 六、部署DHCP服务器
    • 七、地址保留
    • 八、选项优先级
    • 九、DHCP备份
    • 十、练习
    • 十一、DHCP攻击与防御


一、DHCP作用

DHCP(Dynamic Host Configure Protocol ),作用是自动分配IP地址

二、DHCP相关概念

地址池/作用域:(IP、子网掩码、网关、DNS、租期)

DHCP协议端口是UDP 67/68

三、DHCP优点

减少工作量、避免IP冲突、提高地址利用率

四、DHCP原理

也称为DHCP租约过程,分为4个步骤:

  1. 客户机发送DHCP Discovery广播包

客户机广播请求IP地址(包含客户机的MAC地址)

  1. 服务器响应DHCP Offer广播包

服务器响应提供的IP地址(但无子网掩码、网关等参数)

  1. 客户机发送DHCP Request广播包

客户机选择IP (也可认为确认使用哪个IP)

  1. 服务器发送DHCP ACK广播包(ACK=确认)

服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等

五、DHCP续约

1、当50%过后,客户机会再次发送DHCP Request包,进行续约; 、


2、如服务器无响应,则继续使用并在87.5%再次 DHCPRequest包,进行续约;


3、如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址;


4、当无任何服务器响应时,自动给自己分配一个169.254.X.X/16,属于全球统一无效地址,用于临时内网通信!

六、部署DHCP服务器

  1. IP地址固定(服务器必须固定IP地址)
    地址预留:注意为服务器预留ip,比如预留出前多少个ip给服务器。
  2. 安装DHCP服务插件
  3. 新建作用域及作用域选项

(1)新建作用域:给服务器预留ip,同时在后面写到250就行。
(2)作用域选项

1、设置默认网关(要和公司的真正网关吻合)
2、域名称和dns服务:ip地址运营商会给,将运营商给的ip地址填入,或者上网查。
3、 wins服务器已淘汰,直接忽略;

  1. 激活

地址池已经设置好,根据实际情况检查其他方面没问题之后再激活。

  1. 客户机验证:

命令:ipconfig /release
作用:释放IP (取消租约,或者改为手动配置IP ,也可以释放租约)


命令:ipconfig /renew
作用:重新获取IP (有IP时,发送request续约,无IP时发送Discovery重新获取IP )

七、地址保留

  1. 对指定的MAC地址,固定动态分配IP地址,支持类型选择两者

命令:ipconfig /all
作用:查看该电脑所有与ip相关的信息。

八、选项优先级

作用域选项>服务器选项

当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器

九、DHCP备份

备份服务器的所有作用域,当服务器宕机后,可以使用备份文件在其他DHCP服务器上进行还原所有配置

注:如果服务器开着防火墙,那么服务器将无法为客户机提供服务。
注:服务器的ip和自己要提供的ip要一致。

十、练习

1、部署DHCP服务器,并在客户机上验证,并练习ipconfig /release与ipconfig /renew
2、设置DHCP地址保留
3、练习备份和还原

十一、DHCP攻击与防御

  1. 攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽 防御:在交换机(管理型)的端口上做动态MAC地址绑定
  2. 伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址
  3. 防御:在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP offer包
  4. 配置方法:通过命令配置,可以看厂家提供的配置手册。

你可能感兴趣的:(网络安全笔记,网络安全,windows)