day05DHCP部署与安全以及DNS服务器搭建过程

DHCP（Dynamic Host Configure Protocol）动态主机配置协议
DHCP作用：自动分配IP地址
地址池/作用域：（IP、子网掩码、网关、DNS、租期）
DHCP协议端口：UDP67/68
DHCP优点：减少工作量，避免IP冲突，提高地址利用率
DHCP原理：
1）发送DHCP Discovery广播包
客户机广播请求IP地址（包含客户机的MAC地址）
2）响应DHCP offer 广播包
服务器响应提供的IP地址但无子网掩码、网关等
3）发送DHCP Request广播包
客户机选择IP（也可以认为确认使用哪个IP）
4）发送DHCP ACK广播包
服务器确定了租约，并提供网卡详细参数IP、子网掩码、网关、DNS、租期等
DHCP续约：
当50%过后，客户机会再次发送DHCP Request包，进行续约，如服务器无响应，则继续使用并在87.5%再次发送DHCP Request广播包，进行续约，如仍然无响应，客户机释放IP地址，重新发送DHCP Discovery广播包来获取IP地址，当无任何服务器响应时，客户机自己给自己分配IP地址169.254.x.x /16（全国统一无效IP地址），不能上网，临时解决局域网之间人与人通信
部署DHCP服务器：
1）IP地址固定（服务器必须固定IP地址）
2）安装DHCP服务器插件
3）新建作用域及作用域选项
4）激活
5）客户机验证
ipconfig /all //详细信息
ipconfig /release //释放IP（取消租约，或者点击手动配置IP也可释放IP）
ipconfig /renew //重新获取IP（已有IP使用此命令是续约，无IP使用此命令重新获取IP）
实验1：
winxp、win2003
桥接网络都设置为vmnet1，xp设置为自动获取ip，xp虚拟机编辑----选择----虚拟网络编辑器------更改设置-----选中vmnet1---------取消勾选使用本地DHCP服务器（只为v1v8提供这个服务）
win2003不可以开防火墙，防火墙默认关闭67、68端口
开始菜单-----管理工具里无DHCP-----虚拟机设置------CD/DVD-------ISO浏览-----xp我的电脑----双击打开光盘------安装可选的Windows组件-------网络服务双击打开------勾选动态主机配置协议（DHCP）-----确定
凡是服务器IP必须固定，地址预留给服务器用
2003配IP10.1.1.1 子网掩码：255.255.255.0
DHCP使用的是67、68两个端口可以用netstat -an查看
创建作用域/地址池：开始----管理----工具----DHCP-----服务器右键停止启动（测试67、68端口）启动-----右键----新建作用域-----公司名：qx描述：瞎写地址范围10.1.1.21-10.1.1.250-------下一步------地址排除（排除中间IP10.1.1.222）------下一步租期0天1h0min----是-------网关：10.1.1.254添加-----------DNS服务器：202.106.0.20 114.114.114.114-------WINS服务器-------下一步----------是，激活（现实不激活，检查作用域后再激活）
地址租约右键刷新无解决方法：
1.xp网上邻居右键属性-----本地连接右键属性-----支持查看无效ip----本地连接右键启用停用，可查看地址租约里有无
2.ipconfig /release
ipconfig /renew
地址保留：新建保留----保留名称------MAC地址
针对指定的IP地址，动态固定分配IP地址
使用ipconfig /all即可查看MAC地址
备份DHCP作用域：服务器–右键备份D盘新建文件夹DHCP-backup确定
删除作用域还原：右键—还原----选中文件夹----确定—右键刷新
如果误操作删除了服务器，其实服务器并没有停止只是不显示-----可用ipconfig /all查看发现67、68端口开着，服务器右键添加服务器----浏览—高级----win2003-1
服务器IP与默认地址池要一致
选项优先级首先删除所有作用域新建作用域1IT—10.1.1.20—10.1.1.250 24，作用域2财务20.1.1.20—20.1.1.250-----服务器选项配置DNS202.106.0.20
网关一般不一样，不可配网关
在作用域1上更改DNS为114.114.114.114
当服务器上有多个作用域时可以在服务器上设置DNS服务器

DHCP攻击与防御：
1）攻击DHCP服务器：频繁发送伪装DHCP请求，直到将DHCP地址池资源耗尽
防御：在交换机（管理型）的端口做动态，MAC地址绑定（静态绑定-----一般用于证suoda2）伪装DHCP服务器攻击：hack通过将自己部署为DHCP服务器为客户机提供非法IP地址
防御：在交换机（管理型）上，除合法的DHCP服务器所在接口全设置为禁止发送DHCP offer包
利用2008做一台DHCP服务器
DNS部署与安全
域名服务（Domain Name Service）作用：为客户提供域名解析服务
域名组成：
www. sina.com.cn
主机名 域名
www.sina.com.cn是一个域名—从严格意义上讲sina.com.cn才是域名
主机名.域名成为完全限定域名（FQDN）
full quality Domain Name
nslookup www.sina.com.cn
mail.sina.com.cn
只申请主机名即可在哪里申请域名？阿里云万网
www.baidu.com.
二级域名.一级域名.顶级域名.根域名
监听端口TCP53 UDP53
DNS解析种类：
1.按查询方式分类：
1）递归查询：客户机与本地DNS服务器 所问即所答
2）迭代查询：本地DNS服务器与根等其他DNS服务器的解析过程
DNS服务器与转发器 所问非所答
1.缓存
2.自己负责
3.转发器递归解析
2.按查询内容分类
1）正向解析：已知域名解析IP地址
2）反向解析：已知IP地址解析域名
DNS服务器搭建过程：
1.固定IP（2003-1 10.1.1.1）
2.装DNS软件：双击光驱----网络服务----域名系统DNS
netstat -an看有无53端口 无
3.确定—下一步—弹出窗口-----D改为E
开始—管理工具-----DNS-----正向查找区域---------新建区域----主要区域（辅助区域、存根区域）--------（netstat -an看有无53端口 开了）----区域名：baidu.com----创建新文件-----下一步baidu.com.dns----不允许----完成
软件装好可以上网被称为缓存服务器
正向区域-----与父文件夹相同（计算机名）
起始授权机构SOA 谁是权威服务器
名称服务器NS 目前为止只有一台，负责该域名解析的有几台
baidu.com右键----新建主机（A）-----www ip：1.1.1.1----添加主机
打开xp cmd：nslookup www.baidu.com 出错
原因：2003DHCP中DNS改为10.1.1.1
ping www.baidu.com失败因为xp为10网段
1.1.1.1
新建主机----pan 2.2.2.2
nalookup pan.baidu.com
删除本地缓存：ipconfig /flushdns
查看缓存： ipconfig /displaydns
去罗嗦，服务器叫什么名字？
server：unknown
nslookup www.baidu.com
2003：baidu.com 10.1.1.1
正向新建主机dns1 10.1.1.1 勾选创建相关的指针记录ptr
反向------1.1.10-------下一步----dns1—浏览-----www.baidu.com
nslookup www.baissu.com
删除反向区域
反向—新建—10.1.1.1–新建ptr-----dns1.baidu.com
nslookup www.baidu.com

win2003-2 qq.com设置----vmnet2
TCP/IP：10.1.1.2 255.255.255.0
D盘光驱—网络服务----正向查找—qq.com
管理—DNS
新建主机—www 5.5.5.5
win2003-1—属性----根提示（13个）----转发器10.1.1.2添加
winxp nslookup www.qq.com
2003-1baidu.com—属性—区域复制—允许区域复制----只允许到下列服务器
2003-2—右键新建区域----辅助区域----baidu.com----10.1.1.1—添加下一步----完成
刷新：虚拟机不要桥接真实网络
win2003DNS全删

虚拟机如何桥接到真实网络
xp改为vmnet0–编辑—虚拟网络编辑器—v0—改为RealtekUSBGBT
本地连接TCP/TP改为自动
释放地址：ipconfig /release
ping baidu.com
2003-1也桥接到真实网络
2003-1DNS清空缓存----查看----高级—缓存的查找----右键清除缓存
xp查看DNS地址
2003-1DNS指向XPDNS地址
2003转发器去掉
ipconfig /flushdns
nslookup www.qq.com
正向右键属性----202.106.0.20（XPDNS地址）
nslookup www.sina.com.cn
要想改变多台电脑DNS可将DHCP中DNS改为10.0.105.36
别名：
2003-1-----------新建区域baidu.com---------新建主机1.1.1.1
新建别名 mamashuo-----------www.baidu.com
注意将虚拟机桥接到真实网络之后要把客户机的DNS服务器地址改为win2003-1自动分配的ip地址
反向解析时，新建区域已经写了网段，之后新建ptr主机ip号写一位即可。