本文介绍了DHCP协议的工作原理与配置方法,包括DHCP的工作流程、地址分配方式、DHCPRelay配置以及面临的常见安全威胁,并提出了DHCPSnooping技术作为解决方案。
DHCP协议原理与配置
DHCP协议原理
DHCP:动态主机配置协议(IETF发布)
DHCP的应用实现了网络参数配置的自动化
手工配置可能存在的问题:
- 人员素质要求高
- 容易出错
- 灵活性差
- IP地址资源利用率低
- 工作量大
DHCP相对于静态手工配置的优点:
- 效率高
- 灵活性强
- 易于管理
DHCP工作过程
主机请求DHCP服务分配ip
主机上线没有ip—主机请求DHCP服务器(广播)二层广播域–找到DHCP服务器–提供阶段询问(单播)–主机请求阶段(接收第一个回应的服务器)DHCP request(广播)–DHCP(确认提供的ip地址是否可以分配,可以则发送,不可以则发送DHCP Nak消息 拒绝)—DHCP Ack/DHCP Nak (单播)–主机得到ip或者被拒绝
主机续约DHCP ip
主机客户端要到达约定时间后,需要续约
主机(当租约期到一半时候,发送DHCP request消息,请求续约)—DHCP request请求续约(单播)----DHCP 服务器回应 重新开始续约日期 并回应 ack(单播)
主机(当主机租约到7/8时,服务器没有回应)—DHCP request(广播)–DHCP 服务器回应 重新开始续约日期 并回应 ack(单播)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RTmaOefk-1670037267167)(../../../知了堂/mackdown/image-20221103185024280.png)]](/https://i-blog.csdnimg.cn/blog_migrate/4e2678bad10ddaa047a064419396ff76.png)
DHCP配置
DHCP Relay
给不同网段怎么DHCP获取地址
方法一:给每个网段设置一台DHCP 服务器
方法二:路由器配置 DHCP Relay(DHCP中继技术)
如何配置
通过DHCP接口复制分配、通过DHCP地址池分配都是通过路由器或者三层设备实现
DHCP地址池(global)需要配置上:网段、网关、dns
DHCP接口复制(interface):基于一个物理口复制网段等信息给对应局域网主机分配IP地址,但是DNS需要额外指定
DHCP Relay(DHCP中继技术)
常见的dns
114.114.114.114 南京电信dns
8.8.8.8 谷歌dns
DHCP面临的安全威胁
针对dhcp的攻击行为主要有以下三种:
DHCP饿死攻击
仿冒DHCP server 攻击
DHCP饿死攻击
攻击原理:攻击者持续大量的想DHCP server申请ip地址,直到耗尽dhcp地址池的ip地址,导致DHCP server不能正常给用户进行分配
漏洞分析:DHCP server 向申请者分配地址时,无法区分正常的申请者和恶意的申请者
仿冒DHCP server 攻击
攻击原理:攻击者仿冒DHCP server,向客户端分配错误的ip地址及提供错误的网关地址等参数,导致客户端无法正常访问网络
漏洞分析:DHCP客户端接收来自DHCP server 的dhcp消息后,无法区分这些DHCP消息是来自仿冒的DHCP server, 还是来自合法的DHCP server
DHCP中间人攻击
攻击原理:攻击者利用arp机制,让PC-A学习到IP-S与MAC-B的映射关系,又让server学习到IP-A与Mac-B
DHCP Snooping技术
为了增强网络安全,防止DHCP受到攻击,一种称为DHCP Snooping
DHCP Snooping用于防止DHCP饿死攻击
DHCP Snooping用于防止仿冒DHCP server 攻击
DHCP Snooping用于防止DHCP中间人攻击
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
