DHCP饿死攻击：伪造百万MAC地址的防御体系

第3章 第14.3天

DHCP协议：宿舍网络的自动配置大师

大家好，今天我们来聊聊宿舍里那个默默为我们分配IP地址的幕后英雄——DHCP协议。每次当你连接校园Wi-Fi时，不用手动设置就能上网，就是它在工作。我会用抓包实例和命令行操作，带你完整走一遍DHCP的工作流程。

---

一、DHCP协议原理：网络配置的自动化

1. DHCP是什么？

DHCP（动态主机配置协议）就像宿舍楼的"自动分房系统"：

• 新生报到（设备接入网络）：自动分配房间号（IP地址）
• 领取钥匙包：同时提供大门密码（子网掩码）、楼管处位置（默认网关）、快递站地址（DNS服务器）
• 退宿手续：回收房间号（IP地址释放）

2. 协议运行机制

DHCP基于UDP协议，使用两个特殊端口：

• 服务端：监听67端口（楼管办公室）
• 客户端：使用68端口（新生报到窗口）

# 查看Linux系统的DHCP客户端进程
ps aux | grep dhclient
# 输出示例：
# root12340.00.19872432 ?S10:000:00 /sbin/dhclient -4 -v -i eth0
# 注释：-4表示IPv4，-v是详细输出，-i指定网卡

3. DHCP交互流程详解

1. Discover阶段 - 客户端广播找服务器
   新生在楼里大喊："有没有楼管？我要住宿！"
   （源MAC：自己的网卡地址，目标MAC：全F广播地址）

2. Offer阶段 - 服务器提供IP方案
   楼管回应："同学，你可以住3号楼501室（IP地址），租期2天（lease time）"

3. Request阶段 - 客户端确认选择
   新生回复："我就选501了！"
   （此时仍用广播，避免多个服务器造成混乱）

4. Ack阶段 - 服务器最终确认
   楼管："好的，501室正式分配给你，这是详细楼规（网关/DNS）"

---

二、DHCP实战：抓包与分析

1. 触发DHCP流程（Windows环境）

:: 释放当前IP（模拟新生退宿）
ipconfig /release
:: 注释：清除现有网络配置

:: 重新获取IP（模拟新人报到）
ipconfig /renew
:: 注释：触发完整的DHCP流程

2. Wireshark抓包解析

过滤表达式：dhcp 或 udp.port == 67

关键报文分析：

1. Discover报文

• 源IP：0.0.0.0（我还没地址）
• 目标IP：255.255.255.255（全网广播）
• 字段：Option 53 = DHCP Discover（消息类型标识）

2. Offer报文

• 字段：Your IP = 192.168.1.100（提供给你的IP）
• Option 54：DHCP服务器标识（哪个服务器提供的）
• Option 51：租约时间（默认8天）

3. Request报文

• 字段：Requested IP = 192.168.1.100（确认选择的IP）
• Option 50：客户端请求的特定IP

4. Ack报文

• 字段：Subnet Mask = 255.255.255.0
• Option 3：路由器（网关）地址
• Option 6：DNS服务器列表

3. Linux环境观察

# 查看当前DHCP租约信息
cat /var/lib/dhcp/dhclient.leases
# 输出示例：
# lease {
#interface "eth0";
#fixed-address 192.168.1.100;
#option subnet-mask 255.255.255.0;
#option routers 192.168.1.1;
#option domain-name-servers 8.8.8.8;
#renew 2 2023/12/12 10:00:00;
#rebind 2 2023/12/12 12:00:00;
# }
# 注释：记录IP、网关、DNS和租约时间信息

---

三、特殊场景处理

1. IP地址冲突（Decline/Nak）

当检测到IP冲突时：

# 模拟IP冲突检测（伪代码）
def check_ip_conflict(assigned_ip):
# 发送ARP探测包
if arp_probe(assigned_ip) == "已有设备使用":
send_dhcp_decline()# 拒绝分配
# 实际报文：DHCP Decline (Type=53,Value=4)

2. 租约更新机制

• T1时间（50%租期）：尝试向原服务器续租
• T2时间（87.5%租期）：允许向任何服务器续租

// DHCP报文中的时间选项
struct dhcp_options {
u8 code;// 选项类型
u8 len;// 长度
u32 t1;// 续约时间点
u32 t2;// 重绑定时间点
u32 lease;// 总租期
};

---

四、企业级拓展

1. DHCP中继代理

跨网段分配地址：

sequenceDiagram 客户端->>中继代理: Discover(广播) 中继代理->>DHCP服务器: Discover(单播) DHCP服务器->>中继代理: Offer(单播) 中继代理->>客户端: Offer(广播) # 注释：中继代理修改giaddr字段标识客户端网段

2. IP地址池管理

# Cisco路由器配置示例
ip dhcp pool student_net
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 210.32.1.10
lease 0 2 0# 租期0天2小时
excluded-address 192.168.10.1 192.168.10.50
# 注释：保留1-50给静态设备

---

总结与思考

DHCP的精妙之处在于：

1. 广播与单播的配合：Discover/Request用广播避免环路，Ack用单播精准投放
2. 状态机设计：通过Message Type字段（Option 53）驱动流程推进
3. 时间控制艺术：租期长短平衡了地址复用效率和管理开销

课后实验建议：
在宿舍网络抓包观察：

1. 断开Wi-Fi重连时触发的完整DHCP流程
2. 对比手机和电脑获取的DNS配置差异
3. 尝试用dhcping工具测试DHCP服务器响应