华为路由交换基础知识学习笔记-DHCP

DHCP

1 DHCP产?背景

1.1 ??配置?络参数存在的问题

?员素质要求?

容易出错

灵活性差

IP地址资源利?率低

?作量?

1.2 DHCP优点

效率?

灵活性强

易于管理

2 DHCP基本原理

2.1 四个阶段

2.1.1 发现阶段：主机上的DHCP Client开始运?后，向?身所在?层?播域?播?个

DHCP Discover消息寻找DHCP Server。

2.1.2 提供阶段：每?个接收到DHCP Discover消息的DHCP Server都会从??维护的地址池

中选择?个合适的IP地址，通过DHCP O?er消息以单播?式发送给DHCP Client。

2.1.3 请求阶段：主机上的DHCP Client收到若?个DHCP O?er消息后，根据某种原则确定

??将要接受哪个O?er（通常为最先收到的那个），再以?播?式向所在?层?播域?

播?个DHCP Request消息，表明??希望获取到所接受的那个DHCP Server提供的IP。注

意，这个Request消息中带有那个DHCP Server的标识（Server Identifier），表明该主机只

接受那个DHCP Server所给出的O?er。

2.1.4 确认阶段：被请求的DHCP Server以单播?式向主机上的DHCP Client发送?个DHCP

Ack消息。注意，DHCP Server也可能因为某种原因向主机上的DHCP Client发送?个DHCP

Nak消息，表明此次获取IP的尝试失败了。此时，主机只能回到发现阶段重新开始尝试获

取IP。

2.2 IP地址租约期和续租

2.2.1 租约期（Duration Lease）：DHCP Server每次给DHCP Client分配?个IP地址时，只

是和Client定?了?个关于这个IP地址的租约（Lease），DHCP协议规定租约期的缺省值

不得?于1h，实际部署时缺省值?般为24h。超过租约期，Client将不能继续使?该IP，

但在到期前可以续租。

2.2.2 续租：租约期到达50%时，Client会以单播?式向Server发送?个DHCP Request消

息，请求续租当前使?的IP（即重新开始计算租约期），如果租约期87.5%的时间之前

Client收到了Server回应的Ack消息，则续租成功。如果过了87.5%未收到Ack，则Client向

所在?层?播域?播?个DHCP Request消息请求续租，在租约期满前如果得到Server回

应的Ack，则续租成功。超过租约期，Client必须重新申请IP。

3 DHCP Relay

3.1 作?：

DHCP Relay专?在DHCP Client和DHCP Server之间中转DHCP消息。

通过DHCP Relay的中转，?个DHCP Server可以同时为多个?层?播域的DHCP Client提供DHCP服务，进?步提?IP地址使?效率。

3.2 位置：DHCP Relay必须与DHCP Client位于同?个?层?播域，但不要求必须和DHCP

Server位于同?个?层?播域。

3.3 通信?式：

DHCP Relay和DHCP Client之间以?播?式交换DHCP消息（?层通信）

DHCP Relay和DHCP Server之间以单播?式交换DHCP消息（三层通信）

4 DHCP?临的三?安全威胁

4.1 DHCP饿死攻击

4.1.1 原理：攻击者持续、?量地向DHCP Server申请IP地址，直到耗尽DHCP Server地址池

中的IP地址。

4.1.2 漏洞：DHCP Server向申请者分配IP时，?法区分合法?户和?法?户。

4.2 仿冒DHCP Server攻击

4.2.1 原理：攻击者仿冒DHCP Server，向DHCP Client分配错误的IP地址、?关地址等参

数。

4.2.2 漏洞：DHCP Client?法分辨DHCP Server的合法性。

4.3 DHCP中间?攻击

4.3.1 漏洞：假设主机为A，中间?攻击者为B，Server为S，攻击者利?ARP机制，让主机

学习到IP-S和MAC-B的映射关系，让Server学习到IP-A和MAC-B的映射关系，如此，主机

和Server之间交换的报?都会经过攻击者中转，攻击者可轻易篡改DHCP报?。

4.3.2 漏洞：从本质上讲，中间?攻击是?种Spoofing IP/MAC攻击，中间?利?虚假的IP

和MAC映射关系同时欺骗主机Client和Server。

4.4 DHCP Snooping技术

4.4.1 针对DHCP饿死攻击，DHCP Snooping?持在端?下对DHCP Request报?的源MAC和

CHADDR（Client Hardware Address，DHCP消息中的?部分，由DHCP Client填写，实质

为Client的MAC。）进??致性检查，同则转发，异则丢弃。

4.4.2 针对仿冒DHCP Server攻击，DHCP Snooping?持将交换机与DHCP Server相连的端?

设置为信任端?，将其他端?设置为?信任端?，丢弃从?信任端?收到的DHCP响应报?。

4.4.3 针对DHCP中间?攻击，DHCP Snooping使交换机能够侦听往来于DHCP Client和

DHCP Server之间的DHCP消息，收集真实的IP（Sever分配给Client的IP）与MAC（DHCP

消息中CHADDR字段值）绑定关系并记录到DHCP Snooping中。

4.5 DHCP和IPSG技术联动（了解）

IPSG（IP Source Guard）：防范针对源IP地址进?欺骗的攻击?为。

以上内容整理于幕布?档