DHCP:Dynamic Host Configuration Protocol,动态主机配置协议
作用:自动分配IP地址
地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP协议端口是UDP 67/68
减少工作量、避免IP冲突、提高地址利用率
也称为DHCP租约过程,分为4个步骤:
1)客户机发送DHCP Discover广播包
客户机广播请求IP地址(包含客户机的MAC地址)
详细描述:
发现阶段,即DHCP客户机寻找HDCP服务器阶段。当客户端接入网络的时候,即启用了dhcp-client后,DHCP客户机会自动的以广播的方式发送DHCP Discover报文来寻找DHCP服务器,源地址为0.0.0.0,目标地址为255.255.255.255。
2)服务器响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
详细描述:
DHCP Server响应阶段。所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,并向DHCP Client发送一个DHCP Offer报文。DHCP Server从尚未出租的IP地址中挑选一个分配给DHCP客户机,向DHCP客户机响应一个包含出租的IP地址和其他设置的DHCP offer报文。
3)客户机发送DHCP Request广播包
客户机选择IP(也可认为确认使用哪个IP)
详细描述:
选择阶段。DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是处理最先收到的DHCP Offer报文。然后DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。服务器收到request报文以后,确认地址池中的这个地址没有被分配,如果没有被分配就回复ACK报文;如果被分配了,就会回复DHCP-NACK报文,告诉CLient地址已经被分配了。
4)服务器发送DHCP ACK广播包
服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
详细描述:
确认阶段。DHCP Server收到DHCP Request报文后,判断选项字段中的DHCP Server IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。
DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程。
当DHCP Server成功向DHCP Client分配可用IP地址后,以后DHCP客户机每次重新登录网络时,就不需要再发送DHCP Discover发现信息了,而是直接发送包含前一次所分配的IP地址的DHCP Request请求信息。当DHCP服务器收到这一信息后,它会尝试让DHCP客户机继续使用原来的IP地址,并回答一个DHCP ACK确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时(比如此IP地址已分配给其它DHCP客户机使用),则DHCP服务器给DHCP客户机回答一个DHCP NACK否认信息。当原来的DHCP客户机收到此DHCP NACK否认信息后,它就必须重新发送DHCP Discover发现信息来请求新的IP地址。
当使用租期到达50%过后,客户机会再次发送DHCP Request包进行续约,如服务器无响应,则继续使用并在租期达87.5%时再次发送DHCP Request包,进行续约,如仍然无响应,则释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址 ,当无任何服务器响应时,自动给自己分配一个169.254.x.x/16,属于全球统一无效地址,用于临时内网通信!
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户机验证:
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /renew 重新获取IP(有IP时,发送request续约,无IP时发送Discover重新
获取IP)
在VMWare中开启两台虚拟机——xp和2003,xp作为DHCP Client,2003作为DHCP Server。并将两台虚拟机的网络连接模式均选择为“自定义-VMnet2”,以确保两台设备在同一交换机下。
登录XP虚拟机,确保xp虚拟机的IP地址为自动获取的。然后查看IP地址,发现真的是我们在上面说的那个统一无效的地址
1、windows 2003 server的DHCP服务插件在它的ISO文件中,我们只需要确保它的ISO文件已经放到虚拟机中即可,如下图:
可以看到,我们的ISO镜像文件已经插入了。打开虚拟机——”我的电脑“就可以看到驱动器了。我们想要安装的DHCP服务插件就在这里面找了。(windows 2008 server系统中,DHCP服务插件在C盘中放置着的)。
2、双击打开驱动器——选择“安装可选的Windows组件”
双击“网络服务”,不是勾选!!
勾选“动态主机配置协议…”——点击确定——下一步
如果此时该虚拟机没有配置静态IP,则会弹出一个提示框,提示我们要将该服务器的IP设置为静态的,点击确定后会自动弹出设置IP的窗口
双击“Internet 协议(TCP/IP)”配置静态IP
设置静态IP
然后会继续安装“DHCP”组件,安装成功后点击确定即可。
打开cmd窗口,输入 “netstat -an” 查看DHCP服务是否开启
可以看到,DHCP服务已开启
1、打开DHCP服务组件
2、右击“win2003-1-net…”——新建作用域——下一步
填写作用域名——下一步
设置可分配的IP地址范围和子网掩码
添加排除地址,即在刚才的有效范围内我们希望哪些地址不能被用户使用,可以一个一个的设置,也可以范围设置,也可不设置,如果设置了,点击添加即可,然后点击下一步
设置租约期限,然后点击下一步
配置DHCP选项,我们选择第一个。我们之前只是配置了可有IP范围、子网掩码和租期,还有网关等信息没有配置
配置默认网关,这里我们假设 10.1.1.254 就是我们的网关,填写完成后点击"添加",然后点击下一步
配置域名称和域名服务器,这里我们添加 114.114.114.114 和 8.8.8.8 这两个,然后点击下一步
注:114.114.114.114 是中国电信提供的一个免费的 DNS 服务器地址,8.8.8.8 是Goole提供的一个免费的DNS服务器地址
WINS服务器,不用配置,它是DNS的上一代产品,直接点击下一步
激活作用域,我们这里点击是,如果实在生产环境中,建议不要先激活,而是再去检查一遍DHCP的各项参数是否配置正确,然后再激活。点击下一步——完成即可完成DHCP服务器的配置
查看作用域,可以看到我们的配置已经生效,网段为 10.1.1.0
点击地址租约
可以看到,我们的XP系统已经自动获取了IP,因为我们刚才设置了XP系统自动获取IP。这里的唯一ID就是我们XP系统的唯一MAC地址了
【注】
如果 xp 没有自动获取IP,那么我们使用 ipconfig /release 命令释放 IP,然后再使用 ipconfig /renew 重新获取IP即可
查看XP系统的网络连接详细信息,可以看到关于DHCP的一些信息
针对指定的MAC地址,固定动态分配IP地址
1、去XP中复制XP的MAC地址
2、打开2003中的DHCP组件,右击“保留”——新建保留
输入名称,固定IP,需要固定IP系统的MAC地址,描述,“支持的类型”选择“两者”,然后点击添加,然后关闭即可
3、进入XP系统,输入 ipconfig /release 取消续约,再输入 ipconfig /renew 重新发送Discover报文
可以看到,XP系统已经分配到了我们设置的保留IP
备份服务器的所有作用域,当服务器宕机后,可以使用备份文件在其他DHCP服务器上进行还原所有配置
1、右击“win2003-1-net…”——备份
2、选择要将DHCP作用域备份放到哪里
这样就完成了DHCP作用域的备份了
3、还原
先将原有的作用域删除
右击——选择“还原”
选择要还原的DHCP配置在哪个文件夹中,然后点击确定
还原成功
作用域选项>服务器选项
当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器,这样其他作用域就会继承该作用域了。
1)攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御:在交换机(管理型)的端口上做动态MAC地址绑定
2)伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址
防御:在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送dhcp offer包
DNS服务部署与安全
服务器远程管理
NTFS权限管理
本文内容到此结束,感谢您的阅读!!!如果内容对你有帮助的话,记得给我三连丫(点赞、收藏、关注)