信息安全学习----DHCP部署与安全

信息安全学习----DHCP部署与安全

一、DHCP基础知识

1、作用：

自动分配IP地址

2、概念

地址池/作用域：（IP、子网掩码、网关、dns、租期）DHCP端口号67、68

3、优点：

减少工作量，避免IP冲突，提高地址利用率

4、DHCP原理：

DHCP租约过程，4个步骤：

1、客户机发送DHCP Discovery 广播包
客户机广播请求IP地址（包含客户机的Mac）

2、服务器响应DHCP Offer 广播包
服务器响应提供IP地址（无子网掩码、网关等参数）
3、客户机发送DHCP Request 广播包
客户机选择IP（确认使用哪个IP）
4、服务器发送DHCP Ack 广播包
服务器确定租约，并提供网卡详细参数IP、子网掩码、网关、dns、租期

DHCP 续约

当租期过50%过后，客户机再次发送DHCP Request ，进行续约，如服务器无响应，则继续使用并在87.5%，再次，发送DHCP Request仍无响应，并释放IP地址以及重新发送DHCP Discovery 广播包请求获取IP地址。

如果没有DHCP服务器，自己给自己分配IP地址169.254.x.x/16的IP地址，全球统一无效地址，用于内网临时通信

DHCP攻击：

1、客户机DHCP攻击：
利用客户机伪造大量的Mac地址，给DHCP服务器发送DHCP Discovery和DHCP Request包，造成DHCP服务器无地址可分配

**防御：**交换机设置动态Mac绑定，或者设置阈值

2、伪造DHCP服务器

**防御：**交换机端口上设置禁止发送DHCP offer包

二、部署DHCP服务器：

练习：
1、部署DHCP，并在客户机验证，并练习ipconfig /release与ipconfig /renew
2、设置DHCP地址保留
3、练习备份与还原

实验环境：

win7、虚拟机VM15、服务器Windows sever2008

网络拓扑图：

客户机与服务器必须在同一网段，均设置为VMnet1网络

虚拟机需要关闭dhcp

1、IP地址固定（服务器必须固定IP地址（静态IP地址））

2、安装DHCP服务插件

点击“添加角色”

勾选DHCP服务器

3、新建作用域以及作用域选项

绑定IP

DNS设置

ipv4 wins设置不用设置，直接下一步

设置DHCP作用域


安装

4、激活

5、客户机验证
可以在客户机上查看DHCP获取的IP地址

也可以在服务器上查看，点击“地址租用”

6、地址保留

针对指定的Mac地址，固定动态分配地址

查看win7的Mac地址

设置保留地址，将IP地址与Mac地址进行绑定

7、选项优先级

“作用域选项” 优先级高于 “服务器选项”
针对多个作用域
相同的设置可以在“服务器选项”中进行设置

8、DHCP备份

进行备份管理

选择路径保存DHCP配置文件

ipconfig /release 释放IP

ipconfig / renew 重新获取IP地址

看服务器的服务有没有正常运行，查看端口号netstart -an

三、总结

DHCP部署不是很难，多操作几遍即可熟练掌握
服务器与客户机需在相同的网段中
客服机与服务器都要关闭虚拟机的DHCP
针对DHCP攻击，从源头抓起，对交换机进行配置