DHCP部署与防护

DHCP动态主机配置协议:

  • 获取响应的ip地址(自动分配),配置dns、网关
  • 使用udp协议(比tcp速度快)
  • tcp安全,重传机制 udp速度快
  • dhcp服务器67  dhcp客户端 68
  • 手工配置(dhcp服务器将手动配置的IP地址分给客户),自动配置(客户端第一次向服务器申请ip地址,永久分配ip地址),动态配置(租约有关)

DHCP报文:

  1. discover报文
  2. offer
  3. request :请求ip地址;租约到期
  4. ack
  5. decline:客户端收到ack后,经过地址冲突检测,发现有冲突即ip地址不可用
  6. nak:服务器收到request,但无租约信息,发拒绝nak包
  7. inform:客户端已获得IP地址后想要详细的配置信息,服务器根据租约查找
  8. release:客户端释放ip地址

DHCP工作过程:

1.客户机向服务器发送DHCP_discover报⽂,申请IP
2.服务器向客户机返回DHCP_OFFER报⽂,制定⼀个将要分配的IP
3.客户机向服务器发送DHCP_REQUEST报⽂,请求这个IP
4.服务器 ping ⼏次(⼀般是三次)这个IP ,如果没有响应的话,就说明这个IP现在是空闲的 ,可 以分配给客户机,所以向客户机发送DHCP_ACK报⽂,确认可以分配。如果等响应,则发送 DHCP_NAK报⽂,拒绝分配。
5.如果客户端收到DHCP_ACK,则发送⼀次免费ARP,判断这个IP 是否已经被⽤。没有使⽤则绑 定这个服务器分配来的IP,否则向服务器发送DHCP_DECLINE报⽂,拒绝这次分配。并重新执⾏ 第⼀步。
如果收到是DHCP_NAK,则直接重新执⾏第⼀步。
客户机申请IP之前确实没有IP,DHCP_DISCOVER报⽂是以⼴播的形式发送的,IP头⾥的⽬的地址 是255.255.255.255,源地址是0.0.0.0 链路层⽬的地址是FF-FF-FF-FF-FF-FF,源地址是⾃⼰的 MAC地址。这样服务器 收到客户端发来的DISCOVER报⽂之后,会根据源MAC地址向客户机发送 单播的DHCP_OFFER报⽂

DHCP安全性:

  1. DHCP饥饿攻击(拒绝服务/与恶意服务器结合攻击)
  2. DHCP恶意服务器(假的dns解析,钓鱼网站)

ipconfig /release  释放ip地址

ipconfig /renew   重新获取ip地址

  • 客户端执行DHCP-Discover 后,如果没有dhcp服务器响应,客户端会随机使用169.254.0.0/16这个网段内的一个地址作为IP地址。  
  • 续约租期:
    • 租期到50%,客户端单播发request包,服务器响应ack
    • 租期50%,客户端单播request,包丢失,租期87.5%,客户端广播request以续租。
  • 补充:
    • ip层不可靠(丢包,抖动)但IP层的协议(ospf(路由协议,必须正确)、icmp协议(有request,reply))是可靠的。
    • 传输层 tcp可靠(数据包有序列号,有重传机制,三次握手四次挥手) udp不可靠
  • 看服务器是否能联网,是要ping 一个公网地址,如:223.5.5.5(阿里云服务器),并不是浏览器能否有页面,因为浏览器能开网页 ,url, 域名---IP地址映射,还需配置dns。

0x0800 ip协议

0x0806 ARP协议

DHCP中继代理  是指 要分配的IP地址和服务器不是一个网段。要确保两点:

  • 广播转单播
  • 为dhcp服务器指明接口/路由

你可能感兴趣的:(网安学习,网络,安全,服务器)