华为路由交换基础知识学习笔记-DHCP
DHCP
1 DHCP产?背景
1.1 ??配置?络参数存在的问题
?员素质要求?
容易出错
灵活性差
IP地址资源利?率低
?作量?
1.2 DHCP优点
效率?
灵活性强
易于管理
2 DHCP基本原理
2.1 四个阶段
2.1.1 发现阶段:主机上的DHCP Client开始运?后,向?身所在?层?播域?播?个
DHCP Discover消息寻找DHCP Server。
2.1.2 提供阶段:每?个接收到DHCP Discover消息的DHCP Server都会从??维护的地址池
中选择?个合适的IP地址,通过DHCP O?er消息以单播?式发送给DHCP Client。
2.1.3 请求阶段:主机上的DHCP Client收到若?个DHCP O?er消息后,根据某种原则确定
??将要接受哪个O?er(通常为最先收到的那个),再以?播?式向所在?层?播域?
播?个DHCP Request消息,表明??希望获取到所接受的那个DHCP Server提供的IP。注
意,这个Request消息中带有那个DHCP Server的标识(Server Identifier),表明该主机只
接受那个DHCP Server所给出的O?er。
2.1.4 确认阶段:被请求的DHCP Server以单播?式向主机上的DHCP Client发送?个DHCP
Ack消息。注意,DHCP Server也可能因为某种原因向主机上的DHCP Client发送?个DHCP
Nak消息,表明此次获取IP的尝试失败了。此时,主机只能回到发现阶段重新开始尝试获
取IP。
2.2 IP地址租约期和续租
2.2.1 租约期(Duration Lease):DHCP Server每次给DHCP Client分配?个IP地址时,只
是和Client定?了?个关于这个IP地址的租约(Lease),DHCP协议规定租约期的缺省值
不得?于1h,实际部署时缺省值?般为24h。超过租约期,Client将不能继续使?该IP,
但在到期前可以续租。
2.2.2 续租:租约期到达50%时,Client会以单播?式向Server发送?个DHCP Request消
息,请求续租当前使?的IP(即重新开始计算租约期),如果租约期87.5%的时间之前
Client收到了Server回应的Ack消息,则续租成功。如果过了87.5%未收到Ack,则Client向
所在?层?播域?播?个DHCP Request消息请求续租,在租约期满前如果得到Server回
应的Ack,则续租成功。超过租约期,Client必须重新申请IP。
3 DHCP Relay
3.1 作?:
DHCP Relay专?在DHCP Client和DHCP Server之间中转DHCP消息。
通过DHCP Relay的中转,?个DHCP Server可以同时为多个?层?播域的DHCP Client提供DHCP服务,进?步提?IP地址使?效率。
3.2 位置:DHCP Relay必须与DHCP Client位于同?个?层?播域,但不要求必须和DHCP
Server位于同?个?层?播域。
3.3 通信?式:
DHCP Relay和DHCP Client之间以?播?式交换DHCP消息(?层通信)
DHCP Relay和DHCP Server之间以单播?式交换DHCP消息(三层通信)
4 DHCP?临的三?安全威胁
4.1 DHCP饿死攻击
4.1.1 原理:攻击者持续、?量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池
中的IP地址。
4.1.2 漏洞:DHCP Server向申请者分配IP时,?法区分合法?户和?法?户。
4.2 仿冒DHCP Server攻击
4.2.1 原理:攻击者仿冒DHCP Server,向DHCP Client分配错误的IP地址、?关地址等参
数。
4.2.2 漏洞:DHCP Client?法分辨DHCP Server的合法性。
4.3 DHCP中间?攻击
4.3.1 漏洞:假设主机为A,中间?攻击者为B,Server为S,攻击者利?ARP机制,让主机
学习到IP-S和MAC-B的映射关系,让Server学习到IP-A和MAC-B的映射关系,如此,主机
和Server之间交换的报?都会经过攻击者中转,攻击者可轻易篡改DHCP报?。
4.3.2 漏洞:从本质上讲,中间?攻击是?种Spoofing IP/MAC攻击,中间?利?虚假的IP
和MAC映射关系同时欺骗主机Client和Server。
4.4 DHCP Snooping技术
4.4.1 针对DHCP饿死攻击,DHCP Snooping?持在端?下对DHCP Request报?的源MAC和
CHADDR(Client Hardware Address,DHCP消息中的?部分,由DHCP Client填写,实质
为Client的MAC。)进??致性检查,同则转发,异则丢弃。
4.4.2 针对仿冒DHCP Server攻击,DHCP Snooping?持将交换机与DHCP Server相连的端?
设置为信任端?,将其他端?设置为?信任端?,丢弃从?信任端?收到的DHCP响应报?。
4.4.3 针对DHCP中间?攻击,DHCP Snooping使交换机能够侦听往来于DHCP Client和
DHCP Server之间的DHCP消息,收集真实的IP(Sever分配给Client的IP)与MAC(DHCP
消息中CHADDR字段值)绑定关系并记录到DHCP Snooping中。
4.5 DHCP和IPSG技术联动(了解)
IPSG(IP Source Guard):防范针对源IP地址进?欺骗的攻击?为。
以上内容整理于幕布?档