day05DHCP部署与安全以及DNS服务器搭建过程

DHCP(Dynamic Host Configure Protocol)动态主机配置协议
DHCP作用:自动分配IP地址
地址池/作用域:(IP、子网掩码、网关、DNS、租期)
DHCP协议端口:UDP67/68
DHCP优点:减少工作量,避免IP冲突,提高地址利用率
DHCP原理:
1)发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2)响应DHCP offer 广播包
服务器响应提供的IP地址但无子网掩码、网关等
3)发送DHCP Request广播包
客户机选择IP(也可以认为确认使用哪个IP)
4)发送DHCP ACK广播包
服务器确定了租约,并提供网卡详细参数IP、子网掩码、网关、DNS、租期等
DHCP续约:
当50%过后,客户机会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用并在87.5%再次发送DHCP Request广播包,进行续约,如仍然无响应,客户机释放IP地址,重新发送DHCP Discovery广播包来获取IP地址,当无任何服务器响应时,客户机自己给自己分配IP地址169.254.x.x /16(全国统一无效IP地址),不能上网,临时解决局域网之间人与人通信
部署DHCP服务器:
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务器插件
3)新建作用域及作用域选项
4)激活
5)客户机验证
ipconfig /all //详细信息
ipconfig /release //释放IP(取消租约,或者点击手动配置IP也可释放IP)
ipconfig /renew //重新获取IP(已有IP使用此命令是续约,无IP使用此命令重新获取IP)
实验1:
winxp、win2003
桥接网络都设置为vmnet1,xp设置为自动获取ip,xp虚拟机编辑----选择----虚拟网络编辑器------更改设置-----选中vmnet1---------取消勾选使用本地DHCP服务器(只为v1v8提供这个服务)
win2003不可以开防火墙,防火墙默认关闭67、68端口
开始菜单-----管理工具里无DHCP-----虚拟机设置------CD/DVD-------ISO浏览-----xp我的电脑----双击打开光盘------安装可选的Windows组件-------网络服务双击打开------勾选动态主机配置协议(DHCP)-----确定
凡是服务器IP必须固定,地址预留给服务器用
2003配IP10.1.1.1 子网掩码:255.255.255.0
DHCP使用的是67、68两个端口可以用netstat -an查看
创建作用域/地址池:开始----管理----工具----DHCP-----服务器右键停止启动(测试67、68端口)启动-----右键----新建作用域-----公司名:qx描述:瞎写地址范围10.1.1.21-10.1.1.250-------下一步------地址排除(排除中间IP10.1.1.222)------下一步租期0天1h0min----是-------网关:10.1.1.254添加-----------DNS服务器:202.106.0.20 114.114.114.114-------WINS服务器-------下一步----------是,激活(现实不激活,检查作用域后再激活)
地址租约右键刷新无解决方法:
1.xp网上邻居右键属性-----本地连接右键属性-----支持查看无效ip----本地连接右键启用停用,可查看地址租约里有无
2.ipconfig /release
ipconfig /renew
地址保留:新建保留----保留名称------MAC地址
针对指定的IP地址,动态固定分配IP地址
使用ipconfig /all即可查看MAC地址
备份DHCP作用域:服务器–右键备份D盘新建文件夹DHCP-backup确定
删除作用域还原:右键—还原----选中文件夹----确定—右键刷新
如果误操作删除了服务器,其实服务器并没有停止只是不显示-----可用ipconfig /all查看发现67、68端口开着,服务器右键添加服务器----浏览—高级----win2003-1
服务器IP与默认地址池要一致
选项优先级首先删除所有作用域新建作用域1IT—10.1.1.20—10.1.1.250 24,作用域2财务20.1.1.20—20.1.1.250-----服务器选项配置DNS202.106.0.20
网关一般不一样,不可配网关
在作用域1上更改DNS为114.114.114.114
当服务器上有多个作用域时可以在服务器上设置DNS服务器

DHCP攻击与防御:
1)攻击DHCP服务器:频繁发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御:在交换机(管理型)的端口做动态,MAC地址绑定(静态绑定-----一般用于证suoda2)伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器为客户机提供非法IP地址
防御:在交换机(管理型)上,除合法的DHCP服务器所在接口全设置为禁止发送DHCP offer包
利用2008做一台DHCP服务器
DNS部署与安全
域名服务(Domain Name Service)作用:为客户提供域名解析服务
域名组成:
www. sina.com.cn
主机名 域名
www.sina.com.cn是一个域名—从严格意义上讲sina.com.cn才是域名
主机名.域名成为完全限定域名(FQDN)
full quality Domain Name
nslookup www.sina.com.cn
mail.sina.com.cn
只申请主机名即可在哪里申请域名?阿里云万网
www.baidu.com.
二级域名.一级域名.顶级域名.根域名
监听端口TCP53 UDP53
DNS解析种类:
1.按查询方式分类:
1)递归查询:客户机与本地DNS服务器 所问即所答
2)迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程
DNS服务器与转发器 所问非所答
1.缓存
2.自己负责
3.转发器递归解析
2.按查询内容分类
1)正向解析:已知域名解析IP地址
2)反向解析:已知IP地址解析域名
day05DHCP部署与安全以及DNS服务器搭建过程_第1张图片DNS服务器搭建过程:
1.固定IP(2003-1 10.1.1.1)
2.装DNS软件:双击光驱----网络服务----域名系统DNS
netstat -an看有无53端口 无
3.确定—下一步—弹出窗口-----D改为E
开始—管理工具-----DNS-----正向查找区域---------新建区域----主要区域(辅助区域、存根区域)--------(netstat -an看有无53端口 开了)----区域名:baidu.com----创建新文件-----下一步baidu.com.dns----不允许----完成
软件装好可以上网被称为缓存服务器
正向区域-----与父文件夹相同(计算机名)
起始授权机构SOA 谁是权威服务器
名称服务器NS 目前为止只有一台,负责该域名解析的有几台
baidu.com右键----新建主机(A)-----www ip:1.1.1.1----添加主机
打开xp cmd:nslookup www.baidu.com 出错
原因:2003DHCP中DNS改为10.1.1.1
ping www.baidu.com失败因为xp为10网段
1.1.1.1
新建主机----pan 2.2.2.2
nalookup pan.baidu.com
删除本地缓存:ipconfig /flushdns
查看缓存: ipconfig /displaydns
去罗嗦,服务器叫什么名字?
server:unknown
nslookup www.baidu.com
2003:baidu.com 10.1.1.1
正向新建主机dns1 10.1.1.1 勾选创建相关的指针记录ptr
反向------1.1.10-------下一步----dns1—浏览-----www.baidu.com
nslookup www.baissu.com
删除反向区域
反向—新建—10.1.1.1–新建ptr-----dns1.baidu.com
nslookup www.baidu.com

win2003-2 qq.com设置----vmnet2
TCP/IP:10.1.1.2 255.255.255.0
D盘光驱—网络服务----正向查找—qq.com
管理—DNS
新建主机—www 5.5.5.5
win2003-1—属性----根提示(13个)----转发器10.1.1.2添加
winxp nslookup www.qq.com
2003-1baidu.com—属性—区域复制—允许区域复制----只允许到下列服务器
2003-2—右键新建区域----辅助区域----baidu.com----10.1.1.1—添加下一步----完成
刷新:虚拟机不要桥接真实网络
win2003DNS全删

虚拟机如何桥接到真实网络
xp改为vmnet0–编辑—虚拟网络编辑器—v0—改为RealtekUSBGBT
本地连接TCP/TP改为自动
释放地址:ipconfig /release
ping baidu.com
2003-1也桥接到真实网络
2003-1DNS清空缓存----查看----高级—缓存的查找----右键清除缓存
xp查看DNS地址
2003-1DNS指向XPDNS地址
2003转发器去掉
ipconfig /flushdns
nslookup www.qq.com
正向右键属性----202.106.0.20(XPDNS地址)
nslookup www.sina.com.cn
要想改变多台电脑DNS可将DHCP中DNS改为10.0.105.36
别名:
2003-1-----------新建区域baidu.com---------新建主机1.1.1.1
新建别名 mamashuo-----------www.baidu.com
注意将虚拟机桥接到真实网络之后要把客户机的DNS服务器地址改为win2003-1自动分配的ip地址
反向解析时,新建区域已经写了网段,之后新建ptr主机ip号写一位即可。
day05DHCP部署与安全以及DNS服务器搭建过程_第2张图片

你可能感兴趣的:(网络安全,服务器,安全,网络)