Day5、DHCP、DNS部署和安全

一、DHCP部署和安全

1.DHCP(Dynamic Host Configure Protocol)的作用

  • 自动分配IP地址

2.DHCP相关基本概念

地址池、作用域(IP地址,子网掩码,网关,DNS,租期),DHCP协议端口是UDP 67/68

3.DHCP优点

1)减少工作量

2)避免ip冲突

3)提高地址利用率

4.DHCP原理(重要)

1)客户机发送DHCP discovery 广播包

客户机广播请求IP地址(包含客户机Mac地址)

2)服务器响应DHCP Offer 广播包

服务器响应提供客户机IP地址(但无子网掩码、网关等参数)

3)客户机发送DHCP Request请求包

客户机选择IP(也可认为确认使用哪个IP)

4)服务器发送DHCP ACK广播包

服务器确认了租约,提供网卡详细参数IP,子网掩码,网关,DNS,租期等

5.DHCP续约

当租期过50%时,客户机会发送DHCP Request 请求包,若服务器没响应,则继续使用并在租期87.5%时,客户机会再次向DHCP服务器发送Request请求包,进行续约,若服务器无反应,客户机释放ip,重新发送DHCP discovery 广播包,请求IP地址,若一段时间无任何服务器响应时,则自动给自己分配一个169.254.x.x/16的无效地址,属于全球统一无效地址,用于临时内网通信!

6.部署DHCP服务器

客户机验证:

  • ipconfig  /release   释放ip(取消租约,或者手动配置IP,也可以释放租约)
  • ipconfig  /renew     重新获取ip(有ip时,续约,无ip时,发送discovery包重新获取ip)

7.地址保留

指定Mac地址,固定动态分配IP地址

8.选项优先级

作用域选项>服务器选项

服务器上有多个作用域时,可以在服务器选项上统一分配DNS服务器

9.DHCP备份

选择备份就行

10.DHCP攻击和防御

1)攻击DHCP服务器:频繁发送伪装的DHCP请求,直到将DHCP地址池资源耗尽

防御:在交换机(管理型)端口做动态Mac地址绑定

2)伪装DHCP服务器:hack将自己部署为DHCP服务器,为客户机提供非法IP地址

防御:在交换机(管理型),除合法的DHCP服务器端口外,全部设置为禁止发送DHCP Offer 包

 

二、DNS部署和安全

1.DNS(Domain  Name Service)

作用:为客户机提供域名解析服务

2.域名组成

1)域名组成概述

完全限定域名(FQDN):主机名.域名,一个域名下有很多主机,域名全球唯一,FQDN全球也是唯一的。

如 www.baidu.com 

主机名:www

域名:baidu.com

2)域名树形结构

 

 

 如:www.baidu.com.

  • .根域
  • .com(顶级域名)
  • baidu(一级域名)
  • www(主机名)

FQDN=主机名.DNS后缀

3.监听端口

UDP:53

TCP:53

4.DNS解析种类

1)按照查询方式分类

递归查询:客户机对本地服务器

迭代查询:本地服务器和根等其他服务器

 

 

 2)按照查询内容分类

正向解析:已知域名,解析IP地址

反向解析:已知IP地址,解析域名

5.DNS服务器搭建过程

1)网卡IP是静态ip地址

2)安装DNS服务器组件(打开TCP、UDP53号端口)

3)创建区域文件(负责域名后缀解析)

4)新建A记录

6.DNS请求顺序

1)客户机域名请求解析顺序

  • DNS缓存
  • 本地hosts文件
  • 本地DNS服务器

2)服务器域名请求解析顺序

  • DNS高速缓存
  • 本地区域解析文件
  • 转发器

7.域名解析类型

1)A记录:正向解析记录

2)CNAME:别名

3)PTR记录:反向解析记录

4)MX:邮件交换记录

5)NS:域名服务器解析

8.DNS服务器类型

  • 主要名称服务器
  • 辅助名称服务器
  • 根名称服务器
  • 高速缓存名称服务器

9.重要命令复习

  • ipconfig    /release        #释放ip(取消租约,或者手动配置IP,也可以释放租约)
  • ipconfig    /renew          #重新获取ip(有ip时,续约,无ip时,发送discovery包重新获取ip)
  • ipconfig    /flushdns      #清除本地缓存DNS
  • ipconfig    /displaydns  #查看本地缓存DNS

练习

1、DNS服务器:员工要指向DNS,练习清空DNS服务器,练习nslookup手工解析

2、反向解析

3、辅助DNS服务器:成功更新区域解析记录

4、转发器/根

5(选作)将xp与2003桥接上网,部署2003位DNS服务器,xp指向2003,并能实现xp正常上网

6、别名

 

posted @ 2020-09-10 20:47  Kruskal  阅读(247)  评论(0)    收藏  举报