网络安全技术——DHCP技术
想看华为[ENSP]DHCP实验配置的朋友,可以移步这一片文章:
https://blog.csdn.net/weixin_62594100/article/details/123927203
https://blog.csdn.net/weixin_62594100/article/details/123927203
一、DHCP概述
随着网络规模的扩大和网络复杂度的提高,计算机的数量经常超过可供分配的IP地址数目,同时随着便携机及无线网络的广泛运用,计算机的位置也经常发生变化,相应的IP地址也必须经常更新,导致网络的配置越来越复杂。动态主机配置协议DHCP主要用来给网络客户机分配动态的IP地址。
DHCP的作用:
为局域网中每台计算机自动分配TCP/IP协议族协议的信息,包括IP地址、子网掩码、网关以及DNS服务器等。使用DHCP时,终端主机无需配置,网络维护更加方便。
DCHP的主要特点:
1.整个分配过程自动实现,在客户端上,除了将DHCP选项打勾之外,无需做任何的IP环境设定。
2.所有的IP网络资源都由DHCP服务器统一管理,可以帮客户端指定Netmask、DNS服务器、默认网关的参数。
3.通过IP地址租期管理实现IP地址分时复用。
4.DHCP采用广播方式交互报文。由于默认情况下路由器不会将收到的广播包从一个子网发送到另一个子网,因而当DHCP服务器与客户主机不在同一个子网时,必须使用DHCP中继。
5.DHCP安全性较差,服务器容易受到攻击。
二、DHCP的组网方式
DHCP采用客户机/服务器体系结构,客户机靠发送广播方式的发送信息来寻找DHCP服务器,即,向地址255.255.255.255发送特定的广播信息,服务器收到请求后进行响应。而路由器默认情况下是隔离广播域的,对此类报文不予处理,因此DHCP的组网方式分为同网段和不同网段两种方式。
DCHP Server和Client不在同一个子网时,充当客户主机默认网关的路由器必须将广播包发送到DHCP服务器所在的子网,这一功能称为DHCP中继。
1.手工分配
由管理员为少数特定的DHCP客户机(如DNS、WWW服务器、打印机等)静态绑定固定的IP地址。通过DHCP服务器将所绑定的固定IP地址分配给DHCP客户机。此地址永久被该客户机使用,其他主机无法使用。
2.自动分配
DHCP服务器为DHCP客户机动态分配租期为无限长的IP地址。只有客户机释放该地址后,该地址才能被分配给其他客户机使用。
3.动态分配
DHCP服务器为DHCP客户机分配具有一定有效期的IP地址。如果客户机没有及时续约,到达使用期限后,此地址可能会被其他客户机使用。绝大多数客户机得到的都是这种动态分配的地址。
在这三种方式中,只有动态分配的方式可以对已经分配给主机但现在主机已经不用的IP地址重新加以利用。在给一台临时连入网络的主机分配地址或者在一组不需要永久的IP地址的主机中共享一组有限的IP地址时,动态分配显得特别有用。另外,当一台新主机要永久的接入一个网络,而网络的IP地址非常有限时,为了将来这台主机被淘汰时能回收IP地址,动态分配将会是一个很好的选择。
在DHCP环境中,DHCP服务器为DHCP客户机分配IP地址时采用的一个基本原则就是尽可能地为客户机分配原来使用地IP地址,在实际使用过程中会发现,当DHCP客户机重新启动后,它能够获得相同的IP地址。DHCP服务器为DHCP客户机分配IP地址时采用如下的先后顺序:
1.DHCP服务器数据库中与DHCP客户机的MAC地址静态绑定的IP地址。
2.DHCP客户机曾经使用过的IP地址。
3.最先找到的可用的IP地址。
如果未找到可用的IP地址,则依次查询超过租期、发生冲突的IP地址,如果找到,则进行分配,否则报告错误。
三、DHCP报文
DCHP的主要协议报文有八种,其中DHCP Discover、DHCP Offer、DHCP Request、DHCP Ack和DHCP Release 5种报文在DHCP交互过程中比较常见;而DHCP Nak、DHCP Decline和DHCP Inform 3种报文则较少使用。
| DHCP Discover 报文 |
| DHCP Offer报文 |
| DHCP Request报文 |
| DHCP Ack报文 |
| DHCP Release报文 |
| DHCP Nak报文 |
| DHCP Decline报文 |
| DHCP Inform报文 |
(1)DHCP Discover 报文:DHCP客户机系统初始化完毕后第一次向DHCP Sever 发送的请求报文,该报文通常以广播的方式发送。
(2)DHCP Offer报文:DHCP Sever对DHCP Discover 报文的回应报文,采用广播或单播的方式发送。该报文中会包含DHCP服务器要分配给DHCP客户机的IP地址、编码、网关等网络参数。
(3)DHCP Request报文:DHCP Client 发送给DHCP Server 的请求报文,根据DHCP Client当前所处的不同状态采用单播或者广播的方式发送。完成的功能包括DHCP Server选择及租期更新等。
(4)DHCP Release报文:当DHCP Client想要释放已经获得的IP地址资源或取消租期时,将向DHCP Server 发送DHCP Release报文,采用单播方式发送。
(5)DHCP Ack/Nak报文:这两种报文都是DHCP Server 对所收到的Client 请求报文的一个最终的确认。但收到的请求报文中各项参数均正确时,DHCP Server 就回应一个DHCP Ack报文,否则将回应一个DHCP Nak的报文。
(6)DHCP Decline报文:当DHCP Client收到DHCP ACK报文后,它将所获得的IP地址进行进一步确认,通常利用免费ARP进行确认,如果发现该IP地址已经在网络上使用,那么它将通过广播方式向DHCP Server发送DHCP Decline报文,拒绝所获得的这个IP地址。
(7)DHCP Inform报文:当DHCP Client通过其他方式(如手工指定)已经获得可用的IP地址时,如果它还需要向DHCP Server索要其他的配置参数时,它将向DHCP Server发送DHCP Inform报文进行申请,DHCP Server如果能够对所请求的参数进行分配的话,那么将会单播回应DHCP Ack报文,否则不进行任何操作。
四、DHCP工作过程
当DHCP Client接入网络后第一次进行IP地址申请时,DHCP Server和DHCP Client将完成以下的信息交互过程。
第一步:
DHCP Client在它所在的本地物理子网中广播一个DHCP Discover报文,目的是寻找能够分配IP地址的DHCP Sever。此报文可以包含IP地址和IP地址租期的建议。
第二步:
本地物理子网的所有DHCP Server都将通过DHCP Offer报文来回应DHCP Discover报文。DHCP Offer报文中包含了可用网络地址和其他DHCP配置参数。当DHCP Server分配新的地址时,应该确认提供的网络地址没有被其他DHCP Client使用(DHCP Server可以通过发送指向被分配的ICMP Echo Request来确认被分配的地址没有被使用),再发送DHCP Offer报文给DHCP 客户端。
第三步:
DHCP Client 收到一个或多个DHCP Server发送的DHCP Offer报文后将从多个DHCP Server中选择其中一个,并且广播DHCP Request报文来表明哪个DHCP Server被选择,同时也可以包括其他配置参数的期望值。如果DHCP Client在一定时间后依然没有收到DHCP Offer报文,那么它就会重新发送DHCP Discover报文。
第四步:
DHCP Server收到DHCP Client发送的DHCP Request报文后,发送DHCP ACK报文做出回应,其中包含DHCP Client的配置参数。DHCP Ack报文中的配置参数不能和早前对应的DHCP Client 和DHCP Offer报文中的配置参数有冲突。如果因请求的地址已经被分配等情况导致被选择的DHCP Server不能满足需求,DHCP Server应该回应一个DHCP Ack报文。
当DHCP Client收到包含配置参数的DHCP Ack报文后,会发送免费ARP报文进行探测,目的地址为DHCP Server 指定分配的IP地址,如果探测到此地址没有被使用,那么DHCP Client就会使用此地址并且配置完毕。
如果DHCP Client客户端探测到地址已经被分配使用,DHCP Client会发送DHCP Decline报文给DHCP Server,并且重新开始DHCP 进程。另外,如果DHCP Client收到DHCP Nak报文,DHCP Client也将重新启动DHCP 进程。
当DHCP Client选择放弃它的IP地址或者租期时,它将向DHCP Server发送DHCP Release报文。
DCHP Client 在从DHCP Server获得IP地址的同时,也获得了这个IP地址的租期。所谓租期就是DHCP Client 可以使用响应IP地址的有效期,租期到期后DHCP Client必须放弃该IP地址的使用权并重新进行申请。为了避免上述情况,DHCP Client必须在租期到期后重新进行更新,延长该IP地址的使用期限。
当DHCP Server和DHCP Client处于不同的网段时(如图所示),跨网段的工作过程如下所示:
第一步:
具有DHCP Relay功能的网络设备收到DHCP Client以广播方式发送的DHCP Discover或DHCP Request报文后,根据配置将报文单播转发给指定的DHCP Server。
第二步:
DHCP Server进行IP地址的分配,并通过DHCP Relay将配置消息广播发送给客户端,完成网络地址的动态配置。