DHCP,动态主机配置协议简称,建立在client-server模式上。
DHCP支持三种类型的地址分配:
1:自动分配
2:动态分配
3:手工分配
自动分配:自动分配方式中DHCP给主机指定一个永久的IP地址。
动态分配:(做实际的)动态分配方式中DHCP给主机指定一个有时间限制的IP地址,到时间或主机明确表示放弃这个地址时候,这个地址可以被其他的主机使用。
手工分配:这种方式的IP地址是有网络管理员指定的,DHCP只是把指定的IP地址告诉主机。
DHCP协议是基于UDP层之上的应用,DHCP客户机采用的端口号是------68
DHCP服务器采用的端口号是---------67
DHCP服务器通过的事67号端口来判断一个报文是否有DHCP报文。
对客户机动态分配TCP/IP信息 :
IP地址
子网掩码
默认网关
首选DNS服务器
使用DHCP的理由;
减小管理员的工作量
减小输入错误的可能
避免IP冲突
当网络更改IP地址段时,不需要重新配置每台计算机的IP
计算机移动不必重新配置IP
提高了IP地址的利用率
DHCP 除了能动态的设定 IP 位址之外�o还可以将一些IP 保留下来给一些特殊用途的机器使用。
IP租约更新
当DHCP客户机租期达50%时
重新更新租约,客户机发送DHCPRequest包
当租约达到87.5%时
进入重新申请状态,客户机发送DHCPDiscover包
使用ipconfig /renew命令
向DHCP服务器发送DHCPRequest包
如果DHCP服务器没有响应,客户机将继续使用当前的配置
配置DHCP服务器
DHCP服务器的要求
安装DHCP服务
授权DHCP服务器
配置作用域
配置服务器选项
DHCP服务器的需求
4个要求
§ 静态IP地址,§ 子网掩码和其他的TCP/IP参数
§ 安装DHCP服§ 务
§ 使用活动目录服§ 务授权DHCP服§ 务器
§ 建立作用域并激活
DHCP服务器提供给客户机的TCP/IP信息
§ 必须:IP地址和子网掩码
§ 可选:默认网关、DNS服§ 务器…
DHCP租约过程
客户机请求IP地址
服务器响应
客户机选择IP地址
服务器确认IP租约
DHCPDiscover-------客户机----源地址0.0.0.0 目标地址:255.255.255.0---广播
DHCPOffer----------服务器-----源地址0.0.0.0 目标地址:255.255.255.0
DHCPRequest------客户机
DHCPACK--------服务器-------源地址:服务器的地址 目标地址:255.255.255.0
安装过程:
服务器上:
光盘,在运行里输入:appwiz.cpl安装DHCP服务
授权DHCP服务,前提是在域的环境下,如果是工作组的环境中,则可以不用授权。(reasion-------安全) 成功则是---红色向下的箭头变成了绿色向上的箭头
配置作用域,(也就是配置分配给客户机的IP地址,一个网段就是一个作用域,多个网段,就是配置多个作用域)
配置作用域包括:1:新建立作用域 2:激活作用域 3:配置作用域选项 4:配置客户机保留(客户机保留可以使得客户机总是获取到同一个IP地址,通常用于某种服务器)
配置服务器选项: 例如客户配置DNS服务器的IP地址。
客户机上:
1:在网上邻居上,配置动态获取
2:使用命令获取IP地址
DHCP中继代理
解决的是DHCP服务器给多个网段动态分配IP地址。
由于DHCP报文采用的是广播方式,是无法穿越多个子网的,当要想DHCP报文穿越多个子网时候,就要有DHCP终极存在。 而DHCP终极可以是路由器,也可以是一台主机。DHCP终极要监听UDP的、目的端口67的所有报文。
目前黑客采用的攻击方法主要有以下几个几种:
1:重复执行ipconfig -release_all
解决方法在实际情况中重复执行ipconfig -release all 实际上只发出
了DHCP Request报文并没有申请新的IP地址DHCP服务器回一个DHCP
Ack报文允许用户继续使用该IP地址攻击失败
2:先执行一次正常的DHCP过程用NetXRay把报文截取下来再修改
MAC地址把报文按顺序发出去但没有发ARP广播报文结果导致DHCP
server被骗去一个IP地址黑客工具Azrael就是利用这个原理骗取IP地址
解决方法 在正常情况下用户申请到动态IP地址后都要发一个
ARP广播目的IP地址是分配给它的IP 想看看是否有IP地址冲突可以利
用这一点检查用户动态申请IP地址后是否发ARP广播如果不发就认为是假
的用户就通知DHCP服务器把该IP地址释放。
3 黑客在方法2的基础上再加一条ARP广播就可以骗过DHCP Relay 申
请到的IP地址不会被释放结果大量模拟发送这种报文就可以把DHCP地址
池耗尽 星天平台的Vlan Dial可以实现这种原理的攻击
解决方法由于现在的网络主要是ATM网和IP网而IP网络中最盛行的
是以太网在以太网中为了抑制广播采用了VLAN的技术由此我们可以
想到要从根本上防止DHCP攻击可以采用限制单个PVC/VLAN上的用户数
的方法经过限制PVC/VLAN上的接入用户数黑客工具再厉害也不能获得
很多IP地址