DHCP部署与安全

1.DHCP作用

（Dynamic Host Configure Protocol）自动分配ip地址

2.DHCP相关概念

地址池/作用域：（IP、子网掩码、网关、DNS、租期），DHCP协议端口是UDP 67/68

3.DHCP优点

减少工作量、避免IP冲突、提高地址利用率

4.DHCP原理

也称为DHCP租约过程，分4个步骤：

1).发送DHCP Discovery广播包

客户机广播请求IP地址(包含客户机的MAC地址)

2).响应DHCP Offer广播包

服务器响应提供的IP地址（但无子网掩码、网关等参数）

3).发送DHCP Requset广播包

客户机选择IP（也可认为确定使用哪个IP）

4).发送DHCP ACK广播包

服务器确定了租约，并提供网卡详细参数IP、子网掩码、网关、DNS、租期等。

5.DHCP续约

当过50%过后，客户机会再次发送给DHCP Request包，如果服务器无响应，则继续使用并在87.5%再次发送DHCP Requset，进行续约，如仍无响应，则释放IP地址，及重新发送DHCP Discovery广播包来获取IP地址。当无任何服务器响应时，自动给自己分配一个169.254.x.x/16，属于全球统一无效地址，用于临时内网通信 ！

6.部署DHCP服务器

1).IP地址固定（服务器必须固定IP地址）

2).安装DHCP访问插件

虚拟机导入2003iso文件

在2003中打开驱动器

选择安装组件，双击网络服务，选中DHCP服务，确认即可

netstst -an查看端口，发现多出两个端口67，68

3).新建作用域及作用域选项

右键新建作用域

配好起始及结束地址

排除地址，可选

设置租期

选择是即可配置网关

填写的网关必须与实际相吻合，否则无法上网

添加DNS服务器

WINS服务器不用配置下一步即可，

4).激活

激活作用域

5).客户机验证

win xp验证

服务器上查看

几条命令

1.取消租约，或者手工配置ip，也可释放租约

ipconfig /release #释放ip

服务器上已经无记录了

2.若此时无IP地址，则发送DHCP Discovery包，若此时有IP地址，则发送DHCP Requset包重新获取IP

ipconfig /renew #重新获取IP

注：若不能进行该实验，则可能不成功，可能没有关闭VMware自带的DHCP关闭即可，且要关闭防火墙

选择显示“-”代表没有启用DHCP服务即可

或者实验的两台计算机同时选择没在上表中的虚交换机

7.地址保留

这对指定的MAC地址，固定动态分配IP地址

服务器右键保留，新建保留

客户机查看

8.选项优先级

作用域选项>服务器选项

当服务器有多个作用域时，可在服务器选项上设置DNS服务器

先删除之前的作用域

重新新建作用域

到此步骤后，选择否，只分配了ip地池和子网掩码，没有配置DNS和网关

在新建一个作用域

同样选择否

此时两个作用域选项都没有东西

服务器选项中配置，选择006DNS服务器，填入IP地址，并添加，再确认

在第一个作用域或第二个作用域中查看作用域选项，都显示出006DNS选项

在之作用域1上配置DNS服务器为61.139.2.69

说明作用域选项>服务器选项

9.DHCP备份

右键作用域选择备份

选择要备份到的文件夹

删除此作用域后还原

还原完成

10.DHCP攻击与防御

1).攻击DHCP服务器：频繁的发送伪装DHCP请求，直到将DHCP地址池资源耗尽

防御：在交换机上（管理型）上的端口做动态MAC地址绑定

2).伪装DHCP服务器攻击：通过将自己部署为DHCP服务器，为客户机提供非法IP地址

防御：在交换机上，除合法的DHCP服务器所在的接口外，全部设置为禁止发送DHCP offer 包