信息安全学习----DHCP部署与安全

一、DHCP基础知识

1、作用：

自动分配IP地址

2、概念

地址池/作用域：（IP、子网掩码、网关、dns、租期）DHCP端口号67、68

3、优点：

减少工作量，避免IP冲突，提高地址利用率

4、DHCP原理：

DHCP租约过程，4个步骤：

1、客户机发送DHCP Discovery 广播包
客户机广播请求IP地址（包含客户机的Mac）

2、服务器响应DHCP Offer 广播包
服务器响应提供IP地址（无子网掩码、网关等参数）
3、客户机发送DHCP Request 广播包
客户机选择IP（确认使用哪个IP）
4、服务器发送DHCP Ack 广播包
服务器确定租约，并提供网卡详细参数IP、子网掩码、网关、dns、租期

DHCP 续约

当租期过50%过后，客户机再次发送DHCP Request ，进行续约，如服务器无响应，则继续使用并在87.5%，再次，发送DHCP Request仍无响应，并释放IP地址以及重新发送DHCP Discovery 广播包请求获取IP地址。

如果没有DHCP服务器，自己给自己分配IP地址169.254.x.x/16的IP地址，全球统一无效地址，用于内网临时通信

DHCP攻击：

1、客户机DHCP攻击：
利用客户机伪造大量的Mac地址，给DHCP服务器发送DHCP Discovery和DHCP Request包，造成DHCP服务器无地址可分配

**防御：**交换机设置动态Mac绑定，或者设置阈值

2、伪造DHCP服务器

**防御：**交换机端口上设置禁止发送DHCP offer包

二、部署DHCP服务器：

练习：
1、部署DHCP，并在客户机验证，并练习ipconfig /release与ipconfig /renew
2、设置DHCP地址保留
3、练习备份与还原

实验环境：

win7、虚拟机VM15、服务器Windows sever2008

网络拓扑图：

客户机与服务器必须在同一网段，均设置为VMnet1网络

虚拟机需要关闭dhcp

1、IP地址固定（服务器必须固定IP地址（静态IP地址））

2、安装DHCP服务插件

点击“添加角***r>
勾选DHCP服务器

3、新建作用域以及作用域选项

绑定IP

DNS设置

ipv4 wins设置不用设置，直接下一步

设置DHCP作用域


安装

4、激活

5、客户机验证
可以在客户机上查看DHCP获取的IP地址

也可以在服务器上查看，点击“地址租用”

6、地址保留

针对指定的Mac地址，固定动态分配地址

查看win7的Mac地址

设置保留地址，将IP地址与Mac地址进行绑定

7、选项优先级

“作用域选项” 优先级高于 “服务器选项”
针对多个作用域
相同的设置可以在“服务器选项”中进行设置

8、DHCP备份

进行备份管理

选择路径保存DHCP配置文件

ipconfig /release 释放IP

ipconfig / renew 重新获取IP地址

看服务器的服务有没有正常运行，查看端口号netstart -an

三、总结

DHCP部署不是很难，多操作几遍即可熟练掌握
服务器与客户机需在相同的网段中
客服机与服务器都要关闭虚拟机的DHCP
针对DHCP攻击，从源头抓起，对交换机进行配置