信息安全学习----DHCP部署与安全
一、DHCP基础知识
1、作用:
自动分配IP地址
2、概念
地址池/作用域:(IP、子网掩码、网关、dns、租期)DHCP端口号67、68
3、优点:
减少工作量,避免IP冲突,提高地址利用率
4、DHCP原理:
DHCP租约过程,4个步骤:
1、客户机发送DHCP Discovery 广播包
客户机广播请求IP地址(包含客户机的Mac)2、服务器响应DHCP Offer 广播包
服务器响应提供IP地址(无子网掩码、网关等参数)
3、客户机发送DHCP Request 广播包
客户机选择IP(确认使用哪个IP)
4、服务器发送DHCP Ack 广播包
服务器确定租约,并提供网卡详细参数IP、子网掩码、网关、dns、租期
DHCP 续约
当租期过50%过后,客户机再次发送DHCP Request ,进行续约,如服务器无响应,则继续使用并在87.5%,再次,发送DHCP Request仍无响应,并释放IP地址以及重新发送DHCP Discovery 广播包请求获取IP地址。
如果没有DHCP服务器,自己给自己分配IP地址169.254.x.x/16
的IP地址,全球统一无效地址,用于内网临时通信
DHCP攻击:
1、客户机DHCP攻击:
利用客户机伪造大量的Mac地址,给DHCP服务器发送DHCP Discovery和DHCP Request包,造成DHCP服务器无地址可分配
**防御:**交换机设置动态Mac绑定,或者设置阈值
2、伪造DHCP服务器
**防御:**交换机端口上设置禁止发送DHCP offer包
二、部署DHCP服务器:
练习:
1、部署DHCP,并在客户机验证,并练习ipconfig /release与ipconfig /renew
2、设置DHCP地址保留
3、练习备份与还原
实验环境:
win7、虚拟机VM15、服务器Windows sever2008
网络拓扑图:
客户机与服务器必须在同一网段,均设置为VMnet1
网络
虚拟机需要关闭dhcp
1、IP地址固定(服务器必须固定IP地址(静态IP地址))
2、安装DHCP服务插件
点击“添加角***r>
勾选DHCP服务器
3、新建作用域以及作用域选项
绑定IP
DNS设置
ipv4 wins设置不用设置,直接下一步
设置DHCP作用域
安装
4、激活
5、客户机验证
可以在客户机上查看DHCP获取的IP地址
也可以在服务器上查看,点击“地址租用”
6、地址保留
针对指定的Mac地址,固定动态分配地址
查看win7的Mac地址
设置保留地址,将IP地址与Mac地址进行绑定
7、选项优先级
“作用域选项” 优先级
高于
“服务器选项”
针对多个作用域
相同的设置可以在“服务器选项”中进行设置
8、DHCP备份
进行备份管理
选择路径保存DHCP配置文件
ipconfig /release
释放IP
ipconfig / renew
重新获取IP地址
看服务器的服务有没有正常运行,查看端口号
netstart -an
三、总结
DHCP部署不是很难,多操作几遍即可熟练掌握
服务器与客户机需在相同的网段中
客服机与服务器都要关闭虚拟机的DHCP
针对DHCP攻击,从源头抓起,对交换机进行配置