DHCP部署与安全
DHCP作用:自动分配ip地址
全称:dynamic HOST Configure protocol
地址池/作用域:(ip、子网掩码、网关、DNS、租期)
DHCP优点:
减少工作量、避免ip冲突、提高地址利用率
DHCP原理(也称为DHCP租约过程):
1发送DHCP Discovery广播包
客户机广播请求ip地址(包含客户机的MAC地址)
2响应DHCP offer 广播包
服务器响应,提供ip地址(但是无子网掩码,网关等参数)
3客户机发送DHCP Request 广播包
客户机选择ip(也可认为确认使用哪一个ip)
4服务器发送DHCP ACK 广播包(ACK是确认的意思)
服务器确定了租约,并提供网卡详细参数ip,掩码,网关,DNS,租期等
DHCP续约
当租期过了50%后,客户机会再次发送DHCO Request 包,进行续约,如果服务器无响应,则继续使用并在87.5%再次发送DHCP包,进行续约,如仍然无响应,则释放ip地址,并重新发送DHCP Discovery 广播包来获取ip地址,当无任何服务器响应时,自动给自己分配一个169.254.x.x/16 属于全球统一无效地址,用于临时内网通信
续约时之前的协议作废。
DHCP协议端口是UDP 67/68
关闭服务后,端口67、68也随之关闭
部署DHCP服务器
ipconfig
ipconfig /all
ipconfig /release(释放ip,取消租约,或者改为手动配置ip,也可以释放租约)
ipconfig /renew (如果没有ip则发送Discovery让电脑重新获取ip,如果有ip则发送request包续约)
保留功能:可以确保DHCP客户端在次DHCP上始终的到同一个ip地址
ip地址固定(服务器必须固定ip地址)
选项优先级:
如果作用域非常多,可点击稍后配置。然后再服务器中进行配置DNS服务器。(当服务器上有多个作用域时,可以再服务器选项上设置DNS服务器)
作用域选项的优先级要高于服务器的优先级。
DHCP攻击防御:
1 攻击DHCP服务器:频繁发送伪装的DHCP请求,直到将DHCP地址池资源耗尽
防御:在管理型交换机端口上做动态MAC地址绑定
2攻击客户机:伪装DHCP服务器 :hack通过将自己部署为DHCP服务器为客户机提供非法ip地址
防御:在交换机上,除合法DHCP服务器所在接口外,全部设置禁止发送DHCP offer包
原文:https://www.cnblogs.com/HsakuraY/p/14240132.html