[网络安全]DHCP 部署与安全
一 、DHCP作用
(Dynamic HOst Configure Protocol ) 动态IP配置协议
作用:动态自动分配IP地址
二、DHCP相关概念
地址池/作用域: (IP、子网掩码、网关、DNS、周期)
三、DHCP优点
减少工程量 避免IP避免 提高地址利用率
四、DHCP原理
成为DHCP租约过程
步骤:
1.发送 DHCP Discovery(发现)广播包
- (数据包原地址:0.0.0.0 目标地址:255.255.255.255)
- 客户机广播请求IP地址 (广播包中 包括客户机的MAC地址,计算机名称
2.响应DHCP Offer广播包
- DHCP服务器发送Offer包 (包中包括MAC地址,提供的IP地址 ,子网掩码 ,租约时间 ,DHCP服务器IP)
- DHCP客户机等待1秒后,没有收到IP地址,将会重新广播4次(时间分别为2,,4,8,16s)
- 如果4次请求后还是没有IP提供,就会从私有IP地址范围(169.254.0.1----169.254.255.254)选择一 个作为临时IP.
3.发送DHCP Request(请求)广播包
- 客户机选择第一个提供的IP地址 在广播一个包含所提供的IP地址的DHCP服务器的IP地址信息,其他服务器将收回请求信息
4.服务器发送DHCP ACK(确认)广播包
- 服务器确认租约,并提供网卡详细参数(IP 掩码 DNS 网关 租期等)
五、DHCP续约:
DHCP租约是临时的, IP地址租约默认持续时间是8天
- 当DHCP客户机IP租约50%时发送,
- 如果无响应,再在87.5%时,将会广播一个IP租约请求续约包(DHCP Request(请求)广播包),请求是否再次续约(DHCP ACK(确认)广播包).
- 如果仍然87.5%时没有响应,就会从私有IP地址范围(169.254.0.1----169.254.255.254)选择一个
注意:
使用频率多,人员多,动态,建议租约时间短
使用频率少,人员固定,建议租约时间长
六、部署DHCP
1.使主机 服务器 处于同一 局域网.
2.使用 DHCP服务器软件 (Windows自带: 动态主机配置协议 (DHCP))
将服务器IP,换为静态IP. DHCP (动态主机配置协议) : 67服务器 ,68客户机
3.创建地址池/作用域: 打开DHCP服务器,右击"新建作用域", 相应配置.
- 地址范围): 起始IP--结束IP,子网掩码
- 地址排除: 排除 地址范围中,不做分配的IP
- 租约期限
- (默认)路由器/网关IP
- 指定DNS服务器IP
七、DHCP服务器中的 选项:
1. 地址池: 参与分配的IP地址范围
2.地址租约: 已经获取服务的IP地址
3.保留: 动态自动获取一个固定IP,需要提供,名称和MAC地址 (给一些重要的主机,经理,老板)
不设置结束IP代表1个IP
4.作用域选项: 默认网关地址,默认DNS服务器地址,比服务器选项等级高,可以单独修改,不受该服 务器选项控制
5.服务器选项: 可以全部修改作用域选项(默认DNS服务器地址)
注:不能设置网关,因为不同地址池,可能网段不同
八、注意:
1. 当在虚拟机操作时,应该关闭虚拟机的DHCP
编辑-虚拟网络编辑器-更改设置-取消掉"使用本机DHCP..."
2.重新获取IP,发送Discovery包:
- 先停用网卡,再启用
- 重启.
- ipconfig/release (释放IP,取消租约),再 ipconfig/renew (重新获取IP),
(切记:当有IP时,再使用renew时,是重新续约租期)
3. 备份DHCP
右击服务器图标,选择“备份”,选择合适路径。
4. 删除主机图标没事,通过:查看端口号67/68是否存在,判断有DHCP服务
5. 开了防火墙,不能访问DHCP服务,将拦截端口67/68
6.服务器网段,和提供IP网段必须同时处于同一网段
九、DHCP攻击与防御
1.攻击DHCP服务器:频繁发送伪装的DCHCP请求,直到地址池耗完
防御:在交换机(管理型)的端口上做动态MAC地址绑定,一换MAC地址就认为有危险
(静态:一个端口绑定一个主机,动态:一直保持固定端口绑定,除非关机,断网等情况)
2.伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法地址
防御:在交换机(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送IP地址