DHCP部署与安全

1.DHCP

  (dynamic host configure protocol )自动分配IP地址

2.DHCP相关概念

   地址池/作用域：（IP、子网掩码、网关、DNS、租期），DHCP协议端口是UDP 67/68

3.DHCP优点

  减少工作量、避免IP冲突、提高地址利用率

4.DHCP原理

   也称为DHCP租约过程，分4个步骤：

        1.客户机发送DHCP Discovery 广播包

                客户机广播请求ip地址（包含客户机的MAC地址）

        2.服务器响应DHCP Offer广播包

           服务器响应提供的IP地址（但无子网掩码、网关参数等）

        3.客户机发送DHCP request广播包

           客户机选择IP

        4.服务器发送DHCP ack（确认） 广播包

           服务器确定了租约，并提供网卡详细参数IP、掩码、网关、DNS、租约等。

5.DHCP续约

      当50%过后，客户机会再次发送DHCP request包，进行续约，

     若服务器无响应，则继续使用并在87.5%再次发送DHCP request包，进行续约，

     如若仍然无响应，并释放IP地址，及重新发送DHCP discovery广播包来获取IP地址，

     当无任何服务器响应时，自动给自己分配一个169.254.x.x/16(不能上网，但能实现通信，属于全球统一的无效地址，用于临时内网通信)

6. 部署DHCP服务器

    1.IP地址固定（服务器必须固定IP地址）

    2.安装DHCP服务插件

    3.新建作用域及作用域选项

    4.激活

    5.客户机验证：

           ipconfig  /release   释放IP（取消租约，或者改为手动配置IP，也可以释放租约）

           ipconfig  /renew   重新获取IP   （有IP地址时，发送request续约，无IP时发送discovery重新获取IP）

7.地址保留

    这对指定的MAC地址，固定动态分配IP地址

8.选项优先级

   作用域选项>服务器选项

      当服务器上有多个作用域时，可以在服务器选项上设置DNS服务器

9.DHCP攻击与防御

    1.攻击DHCP服务器：频繁的发送伪装DHCP请求，直到将DHCP地址池资源耗尽

       防御：在交换机（管理型）的端口上做动态MAC地址绑定

    2.伪装DHCP服务器攻击：hack通过将自己部署为DHCP服务器，为客户机提供非法IP地址

       防御：在交换机上（管理型），除合法的DHCP服务器所在的接口外，全部设置为禁止发送的dhcp  offer包