DHCP spooping非法获取地址设置原理
一、DHCP概述
DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就
可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动
安装,还需要管理员手动安装并进行必要的配置。
二、DHCP报文
- DHCP Discover报文 ---------------客户端发送的请求报文-广播方式
- DHCP Offer 报文----------------------服务器对客户端的回应报文-以单播方式或者广播方式。DHCP offer报文
包括(IP 地址,掩码 ,网关,DNS等。) - DHCP Request报文--------------------客户端发给服务器的请求报文,单播方式或者广播,完成功能DHCP服务器
的选择以及租期更新。 - DHCP Release报文---------------------客户端发给服务器的,想要释放IP或者取消租期,单播方式。
DHCP AcK/NaK------------------------确认报文,AcK正确,NcK错误
三、DHCP Snooping功能简介:
DHCP Snooping:意为DHCP 窥探,在一次PC动态获取IP地址的过程中,通过对Client和服务器之间的DHCP交互报文进行
窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP 报文过滤的功能,通过合理的配置实现对非法服务器的过滤,
防止用户端获取到非法DHCP服务器提供的地址而无法上网。
下边对DHCP Snooping 内使用到的一些术语及功能进行解释:****
- DHCP 请求报文:DHCP 客户端发往DHCP 服务器的报文。
- DHCP 应答报文:DHCP 服务器发往DHCP 客户端的报文。
- DHCP Snooping TRUST 口:由于DHCP 获取IP 的交互报文是使用广播的形式,从而存在着非法的DHCP 服务影响用户
正常IP 的获取,更有甚者通过非法的DHCP 服务欺骗窃取用户信息的现象,为了防止非法的DHCP 服务的问题,DHCP Snooping
把端口分为两种类型,TRUST 口UNTRUST 口,设备只转发TRUST 口收到的DHCP 应答报文,而丢弃所有来自UNTRUST 口
的DHCP 应答报文,这样我们把合法的DHCP Server 连接的端口设置为TRUST 口,则其他口为UNTRUST 口,就可以实现对
非法DHCP Server 的屏蔽。 - DHCP Snooping 报文过滤:在对个别用户禁用DHCP 报文的情况下,需要评估用户设备发出的任何DHCP 报文,那么我
们可以在端口模式下配置DHCP 报文过滤功能,过滤掉该端口收到的所有DHCP 报文。 - DHCP Snooping 绑定数据库:在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题,用户随意设置的IP
地址不但使网络难以维护,而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络,DHCP Snooping
通过窥探Client 和Server 之间交互的报文,把用户获取到的IP 信息以及用户MAC、VID、PORT、租约时间等信息组成用户
记录表项,从而形成DHCP Snooping 的用户数据库,配合ARP 检测功能或ARP CHECK功能的使用,进而达到控制用户合法使
用IP 地址的目的。
** 四、DHCP snooping 阻断的报文**
IP DHCP Snooping
在 DHCPOffer 报文 服务器回应客户端的报文进行拦截,
DHCP Snooping 把端口分为两种类型,TRUST 口UNTRUST 口,设备只转发TRUST 口收到的DHCP 应答报文,而丢弃所有来
自UNTRUST 口的DHCP 应答报文
DHCP spooping非法获取地址设置原理的更多相关文章
- 小工具-IP地址获取和设置及端口访问验证(windows)
技术部在业务部门眼里就是后勤部门,业务部门要搬到新大楼去 领导要求去帮忙调试业务人员的电脑,要保证这些大爷们周一上班来,就喝着茶打开新浪,然后打开OA看看. 手上就几个桌面支持的兄弟,要弄一百台多电脑 ...
- 如何禁止虚拟机自动获取DHCP分配的ip地址
今天在看Hadoop视频学习的时候跟着视频里面修改ip地址,将虚拟机的ip地址修改为192.168.2.3,结果ifconfig显示ip地址为192.168.2.128,用物理主机去ping这两个ip ...
- 通过DHCP动态管理IP地址
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP ...
- VMware NAT 设置原理
1.网络地址转换(NAT):默认使用VMnet8 (强烈推荐) 这种访问模式指的是虚拟机不占用主机所在局域网的ip,通过使用主机的NAT功能访问局域网和互联网,意味着虚拟机可以访问局域网中的其他电脑, ...
- Android 上SuperUser获取ROOT权限原理解析
Android 上SuperUser获取ROOT权限原理解析 一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android 玩家中常说的“越狱”有一个更深层次的认识. ...
- Java 网络爬虫获取网页源代码原理及实现
Java 网络爬虫获取网页源代码原理及实现 1.网络爬虫是一个自动提取网页的程序,它为搜索引擎从万维网上下载网页,是搜索引擎的重要组成.传统爬虫从一个或若干初始网页的URL开始,获得初始网页上的URL ...
- Oracle 支持在具有 DHCP 分配的 IP 地址的系统上进行安装
今天在安装Oracle 10g的时候,遇到了“ Oracle 支持在具有 DHCP 分配的 IP 地址的系统上进行安装” 这个问题,经过搜索,找到了解决方案,具体如下: win7下右键单机" ...
- Linux下通过ioctl系统调用来获取和设置网络信息
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h&g ...
- JQuery获取与设置HTML元素的值value
JQuery获取与设置HTML元素的值value 作者:简明现代魔法图书馆 发布时间:2011-07-07 10:16:13 20481 次阅读 服务器君一共花费了13.221 ms进行了6次数据库查 ...
随机推荐
- Ayoa:麻雀虽小、五脏俱全的思维导图工具
Ayoa是一款简单好用的思维导图软件,在PC端可以使用Ayoa网页版,也就是不用下载即可使用,十分轻便省力.但麻雀虽小,五脏可十分俱全,同类的其他大型软件有的东西它可一点不少,甚至还有更多的特殊功能. ...
- guitar pro系列教程(一):Guitar Pro主界面之记谱功能的详细解析【上】
相信弹吉他的朋友们对guitar pro这款软件并不陌生,也有很多朋友用它来看谱制谱.而GP有很多实用功能,能够使我们看谱更清晰,制谱更便捷,所以让我们一起来看看吧 Guitar Pro对初学作曲,特 ...
- 使用celery异步发送短信
目录 1.使用celery异步发送短信 1.1在celery_task/mian.py中添加发送短信函数 1.2在verifcations/views.py中添加celery发送短信视图函数 1.3 ...
- 15.java设计模式之访问者模式
基本需求: 电脑需要键盘鼠标等固定的组件组成 现在分为个人,组织等去买电脑,而同一种组件对不同的人(访问者)做出不同的折扣,从而电脑的价格也不一样 传统的解决方法:在组件内部进行判断访问人的类型,从而 ...
- java多线程--【Foam番茄】
进程 是系统资源分配的单位 线程 通常在一个进程中可以包含若干个线程,当然一个进程中至少有一个线程,不然没有存在的意义.线程是cpu调度和执行的单位 注意:很多多线程是模拟出来的,真正的多线程是指有多 ...
- Kafka入门之broker-消息设计
消息设计 1.消息格式 Kafka的实现方式本质上是使用java NIO的ByteBuffer来保存消息,同时依赖文件系统提供的页缓存机制,而非依靠java的堆缓存. 2.版本变迁 0.11.0.0版 ...
- MFC二进制文件读取
1.mfc Document-vew doc类中读取 doc类中读取,在Vew类中可直接使用. 在菜单栏NewFile/OpenFile 后,系统自动调用Serialize()函数 if :写入文件 ...
- od中低位地址和高位的顺序,以及数据的存放读写
在观察内存的时候应当注意"内存数据"与"数值数据"的区别. 在我们的调试环境中,内存由低到高分布,你可以简单地把这种情形理解成Win32系统在内存中由地位向高位 ...
- 使用 Jasypt 加密 Spring Boot 配置文件
一.添加依赖包 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId> ...
- 在 CentOS 7 安装 RabbitMQ
一.安装 Erlang RabbitMQ 是使用 Erlang 开发的,所以需要首先安装 Erlang,本文安装其最新版本 添加 repo 文件: sudo vim /etc/yum.repos.d/ ...