1.DHCP作用
(Dynamic Host Configure Protocol)自动分配ip地址
2.DHCP相关概念
地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP协议端口是UDP 67/68
3.DHCP优点
减少工作量、避免IP冲突、提高地址利用率
4.DHCP原理
也称为DHCP租约过程,分4个步骤:
1).发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2).响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
3).发送DHCP Requset广播包
客户机选择IP(也可认为确定使用哪个IP)
4).发送DHCP ACK广播包
服务器确定了租约,并提供网卡详细参数IP、子网掩码、网关、DNS、租期等。
5.DHCP续约
当过50%过后,客户机会再次发送给DHCP Request包,如果服务器无响应,则继续使用并在87.5%再次发送DHCP Requset,进行续约,如仍无响应,则释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址。当无任何服务器响应时,自动给自己分配一个169.254.x.x/16,属于全球统一无效地址,用于临时内网通信 !
6.部署DHCP服务器
1).IP地址固定(服务器必须固定IP地址)
2).安装DHCP访问插件
虚拟机导入2003iso文件
在2003中打开驱动器
选择安装组件,双击网络服务,选中DHCP服务,确认即可
netstst -an查看端口,发现多出两个端口67,68
3).新建作用域及作用域选项
右键新建作用域
配好起始及结束地址
排除地址,可选
设置租期
选择是即可配置网关
填写的网关必须与实际相吻合,否则无法上网
添加DNS服务器
WINS服务器不用配置下一步即可,
4).激活
激活作用域
5).客户机验证
win xp验证
服务器上查看
几条命令
1.取消租约,或者手工配置ip,也可释放租约
ipconfig /release #释放ip
服务器上已经无记录了
2.若此时无IP地址,则发送DHCP Discovery包,若此时有IP地址,则发送DHCP Requset包重新获取IP
ipconfig /renew #重新获取IP
注:若不能进行该实验,则可能不成功,可能没有关闭VMware自带的DHCP关闭即可,且要关闭防火墙
选择显示“-”代表没有启用DHCP服务即可
或者实验的两台计算机同时选择没在上表中的虚交换机
7.地址保留
这对指定的MAC地址,固定动态分配IP地址
服务器右键保留,新建保留
客户机查看
8.选项优先级
作用域选项>服务器选项
当服务器有多个作用域时,可在服务器选项上设置DNS服务器
先删除之前的作用域
重新新建作用域
到此步骤后,选择否,只分配了ip地池和子网掩码,没有配置DNS和网关
在新建一个作用域
同样选择否
此时两个作用域选项都没有东西
服务器选项中配置,选择006DNS服务器,填入IP地址,并添加,再确认
在第一个作用域或第二个作用域中查看作用域选项,都显示出006DNS选项
在之作用域1上配置DNS服务器为61.139.2.69
说明作用域选项>服务器选项
9.DHCP备份
右键作用域选择备份
选择要备份到的文件夹
删除此作用域后还原
还原完成
10.DHCP攻击与防御
1).攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御:在交换机上(管理型)上的端口做动态MAC地址绑定
2).伪装DHCP服务器攻击:通过将自己部署为DHCP服务器,为客户机提供非法IP地址
防御:在交换机上,除合法的DHCP服务器所在的接口外,全部设置为禁止发送DHCP offer 包