(Dynamic Host Configure Protocol)自动分配IP地址
地址池/作用域:(IP,子网掩码,网关,DNS,租期),DHCP 协议端口是 UDP 67,68
减少工作量,避免IP冲突,提高地址利用率
也成为DHCP租约过程,分为4个步骤:
客户机广播请求IP地址(包含客户机的MAC地址以表明自己的身份)
服务器响应提供的IP地址(但无子网掩码、网关等参数)
客户机确认使用哪个IP
服务器确定了租约,并提供网卡详细参数IP、掩码,网关、DNS、租期等
50%过后,客户机会再次发送DHCP Request包,进行续约;如果服务器无响应,则继续使用并在87.5%,再次发送DCHP Request包,进行续约;如X任然无响应,将释放IP地址,并重新发送DHCP Discovery广播包来获取新的IP地址,当无任何服务器响应时,给本机分配一个169.254.x.x/16,全球统一无效地址(不能上网),用于临时内网通信!
如果安装时弹出需要一个静态IP地址,那么就去网络服务里去自己手动配一个IP地址就好了。安装完成后会发现电脑里多了2个UDP端口。
开始菜单–>管理工具–>DHCP
设置起始IP地址和结束IP地址。起始IP地址不设置为10.1.1.0,结束IP地址不设置为10.1.1.255,常常是为了预留一些IP地址给网关。
添加需要排除的IP地址,被排除的IP地址将不会出现在地址池/作用域中。
选择租约期限
配置默认网关,默认网关的IP要根据实际情况进行配置,该处是随便配的。下面的DNS服务器也是。
下一步的wins服务器已经被淘汰了,就不多说了。最后点击激活作用域就行了。
实验
再开一个虚拟机作为客户机,将2个虚拟机的网络适配器都置于VMnet2之下,只要不是VMnet1和VMnet8就好了,因为在这2个虚拟网络中VMware Workstation Pro都内置了一个服务器,可能导致自己制作DHCP服务器与其冲突而实验失败。
进入客户机的网络服务将Internet协议(TCP/IP) 设置为自动获得IP地址和DNS服务器地址,然后禁用启动即可。
可以看到Client的IP地址在DHCP服务器的作用域,有趣的是默认网关是10.1.1.254,也就是前面提到预留的IP地址。
客户机验证:
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约) ipconfig /renew 重新获取IP(有IP时,发送Request续约,无IP时,发送Discovery重新获取)如果在已经有IP地址的情况下再次使用
ipconfig /renew将会发送一个request包,该包的作用是DHCP续约延长租约的时间。
对比下面的租期就能知道了。
对指定的MAC地址,固定动态分配IP地址
首先获得客户机的MAC地址也就是所谓的物理地址。
进入DHCP服务器的保留中新建保留。
现在只要是这个MAC地址的客户机连接,都将会分配10.1.1.168这个IP地址。
作用域选项>服务器选项
当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器
点击备份,创建一个空文件夹,将备份文件放入即可。
点击还原,选择想要还原的备份文件夹即可。
1)攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽。
防御:在交换机(管理型)端口上做动态MAC地址绑定。
在连接期间该MAC地址会存储在交换机缓存中,如果MAC地址发生改变则判断其为非法。直到连接结束,Client的MAC地址才会从缓存中清除。
这个防御方法确保了发送DHCP请求的Client是合法用户。
MAC静态绑定,该接口绑定了一个固定的MAC地址,需要相关人员修改才行。
2)伪装DHCP 服务器攻击:hack通过将自己部署的DHCP服务器,为客户及提供非法IP
防御:在交换机上(管理型),除合法的DHCP服务器所在的端口外,全部设置为禁止发送DHCP Offer包。
根据DHCP的设计,哪个Offer先到,就选择哪个Offer的IP地址。也就是说如果是非法的DHCP的Offer先到达,那么就被攻击了。那么如何防御这样的情况呢?通过交换机硬件防御,只允许原来的DHCP端口发送Offer,其他端口的Offer受到禁止就行了。
