[网络安全]DHCP 部署与安全

一 、DHCP作用

(Dynamic HOst Configure Protocol ) 动态IP配置协议 

作用:动态自动分配IP地址

二、DHCP相关概念

地址池/作用域: (IP、子网掩码、网关、DNS、周期)

三、DHCP优点

减少工程量 避免IP避免 提高地址利用率

四、DHCP原理

成为DHCP租约过程

步骤:

1.发送 DHCP Discovery(发现)广播包

  • (数据包原地址:0.0.0.0  目标地址:255.255.255.255
  •   客户机广播请求IP地址 (广播包中 包括客户机的MAC地址,计算机名称

2.响应DHCP Offer广播包

  •   DHCP服务器发送Offer包 (包中包括MAC地址,提供的IP地址 ,子网掩码 ,租约时间 ,DHCP服务器IP)  
  •   DHCP客户机等待1秒后,没有收到IP地址,将会重新广播4次(时间分别为2,,4,8,16s)
  •   如果4次请求后还是没有IP提供,就会从私有IP地址范围(169.254.0.1----169.254.255.254)选择一 个作为临时IP.

3.发送DHCP Request(请求)广播包

  •   客户机选择第一个提供的IP地址 在广播一个包含所提供的IP地址的DHCP服务器的IP地址信息,其他服务器将收回请求信息 

4.服务器发送DHCP ACK(确认)广播包

  •    服务器确认租约,并提供网卡详细参数(IP 掩码 DNS 网关 租期等)

五、DHCP续约:

  DHCP租约是临时的, IP地址租约默认持续时间是8天

  • 当DHCP客户机IP租约50%时发送,
  • 如果无响应,再在87.5%时,将会广播一个IP租约请求续约包(DHCP Request(请求)广播包),请求是否再次续约(DHCP ACK(确认)广播包). 
  • 如果仍然87.5%时没有响应,就会从私有IP地址范围(169.254.0.1----169.254.255.254)选择一个

注意:

使用频率多,人员多,动态,建议租约时间短

使用频率少,人员固定,建议租约时间长

六、部署DHCP

  1.使主机 服务器 处于同一 局域网.

  2.使用 DHCP服务器软件 (Windows自带: 动态主机配置协议 (DHCP))

    将服务器IP,换为静态IP.  DHCP (动态主机配置协议) : 67服务器 ,68客户机

  3.创建地址池/作用域: 打开DHCP服务器,右击"新建作用域", 相应配置.

  •   地址范围): 起始IP--结束IP,子网掩码
  •   地址排除: 排除 地址范围中,不做分配的IP
  •   租约期限
  •   (默认)路由器/网关IP
  •   指定DNS服务器IP

七、DHCP服务器中的 选项:

1. 地址池: 参与分配的IP地址范围

2.地址租约: 已经获取服务的IP地址

3.保留: 动态自动获取一个固定IP,需要提供,名称和MAC地址 (给一些重要的主机,经理,老板)

  不设置结束IP代表1个IP

4.作用域选项: 默认网关地址,默认DNS服务器地址,比服务器选项等级高,可以单独修改,不受该服    务器选项控制

5.服务器选项:   可以全部修改作用域选项(默认DNS服务器地址)

      :不能设置网关,因为不同地址池,可能网段不同

 

八、注意:

  1. 当在虚拟机操作时,应该关闭虚拟机的DHCP

      编辑-虚拟网络编辑器-更改设置-取消掉"使用本机DHCP..."

  2.重新获取IP,发送Discovery包:

  •   先停用网卡,再启用
  •   重启.
  •   ipconfig/release (释放IP,取消租约),再 ipconfig/renew (重新获取IP),

 (切记:当有IP时,再使用renew时,是重新续约租期)

   3. 备份DHCP

      右击服务器图标,选择“备份”,选择合适路径。

  4. 删除主机图标没事,通过:查看端口号67/68是否存在,判断有DHCP服务

  5. 开了防火墙,不能访问DHCP服务,将拦截端口67/68

  6.服务器网段,和提供IP网段必须同时处于同一网段

  

九、DHCP攻击与防御

   1.攻击DHCP服务器:频繁发送伪装的DCHCP请求,直到地址池耗完

      防御:在交换机(管理型)的端口上做动态MAC地址绑定,一换MAC地址就认为有危险

(静态:一个端口绑定一个主机,动态:一直保持固定端口绑定,除非关机,断网等情况)

  2.伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法地址

     防御:在交换机(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送IP地址

  

  

  

你可能感兴趣的:(安全,web安全,网络)