Chinaunix首页 | 论坛 | 博客

LINUX系统维护与管理data.blog.chinaunix.net

首页 |  博文目录 |  关于我

sjhf

  • 博客访问: 10657091
  • 博文数量: 2905
  • 博客积分: 20098
  • 博客等级: 上将
  • 技术积分: 36298
  • 用 户 组: 普通用户
  • 注册时间: 2009-03-23 05:00
文章分类

全部博文(2905)

文章存档

2012年(1)

2011年(3)

2009年(2901)

我的朋友
最近访客
推荐博文
相关博文
dhcp服务器探测

分类: LINUX

2009-04-12 09:32:34

一、首先简单介绍一下 DHCP 的工作流程
 
 1、客户机发送 DHCPDISCOVER 广播消息 ,这个消息的 src ip 是 0.0.0.0 ,dst ip 是 255.255.255.255 。src mac 是客户机的 mac ,dst mac 是

     ff:ff:ff:ff:ff:ff 。 注意!如果这个客户机之前获得某个 ip ,则它会使用 option requested-ip-address 来申明希望继续使用某个 ip ,否则为空

2、每个收到这个广播的 DHCP 服务器都会返回一个 DHCPOFFER ,src ip 是 DHCP 服务器的 ip ,dst ip 是 0.0.0.0 ,src mac 是服务器的 mac ,dst mac 是

     客户机的 mac 。注意,服务器会在发送 DHCPOFFER 之前对要分配的 ip 发送一个 ping 包,如果收到响应则表示该 ip 被占用,不能分配,否则则可以被分配

3、客户机可能会收到多个 DHCPOFFER ,这时它处于 RFC 2131 中所规定的 SELECTING 状态。它可以从多个 OFFER 中挑选一个合适的。

     默认是只接受第1个收到的 OFFER ,忽略其他的。这里正是我们需要修改的。

4、客户机发送一个 DHCPREQUEST 消息,src ip 是 0.0.0.0 ,dst ip 是 255.255.255.255 。src mac 是客户机的 mac , dst mac 是 ff:ff:ff:ff:ff:ff。

     然后通过 option server-identifier 告诉所有 DHCP 服务器它选择的是那个 DHCP 服务器的 OFFER。

    注意,在这个时间,客户机实际上已经拿到了 ip 了,可以实现点-点的通信了

5、其他没有被接受的 DHCP 服务器在收到 DHCPREQUEST 后就会知道自己的 OFFER 没有被接受,也就不再关心了

6、那个被选中的 DHCP 服务器返回一个 DHCP ACK 消息,src ip 是自己的 ip ,dst ip 是客户机的 ip 。src mac 是服务器的 mac ,dst mac 是客户机的 mac

7、这就完成了一个 lease 。

8、如果客户机是续约,且 Server 发现之前的 ip 已经过期,而且被另外一台客户机所申请,且该服务器是“权威的“则会返回一个 DHCPNAK ,客户机则放弃申请

     该 ip ,并从 DHCPDISCOVER 开始,而不是从 DHCPREQUEST 开始。
 
二、什么是 Rogue DHCP ?
 
 由于目前 DHCP 没有认证功能,如果有人无心启动了 DHCP 服务,但又没有配置好 /etc/dhcpd.conf ,这时就会干扰正常的 ip 租用。

举个例子,我有一个 “权威” 的 DHCP 服务器 172.17.64.34 ,提供的地址是从 172.17.64.244 ~ 248 。这时有人非法启动了一个 DHCP 服务器 ,

其 ip 为 172.17.64.39 , 分配的地址为 172.17.64.249~254 。

假设有一台客户机,它申请 ip 时 ,那台”非法“的 DHCP 服务器先返回一个 DHCPOFFER ,则客户机会拿着那个”非法的 ip“。

然后在后续的过程也会继续申请该 ip ,这就可能造成那些由”权威“的 DHCP 服务器分配的 ip 发生冲突的情况。

三、什么是“权威的”DHCP 服务器

就是允许返回 DHCPNAK 的 DHCP 服务器。默认 ISC DHCP 服务器都不会认为自己是“权威的”

只有那些“权威的” DHCP 服务器才能对一个非法的 request 返回一个 DHCPNAK。

你必须在 /etc/dhcpd.conf 中加入下面的指令
 
 
authoritative;
具体方法

该方法需要一台空闲的客户机。

1、设置接口
BOOTPROTO=dhcp
PEERDNS=no
2、设置 /etc/dhclient.conf :
select-timeout 5;
interface "eth1" {
        send fqdn.server-update on;
        send dhcp-client-identifier "my-dhcp-client.n7css.com.";
        send fqdn.fqdn "my-dhcp-client.n7css.com.";
        send fqdn.encoded on;
        send host-name "my-dhcp-client.n7css.com.";
}
第一句是最主要的。目的让客户机不要立即选择 DHCPOFFER ,而是等待5秒。否则 dhclient 只会打印它所接受的那个 DHCPOFFER

3、以 root 身份执行命令
[root@my-dhcp-client root]# dhclient -1 eth1

Internet Systems Consortium DHCP Client V3.0.1
Copyright 2004 Internet Systems Consortium.
All rights reserved.
For info, please visit [url]http://www.isc.org/products/DHCP[/url]
                                                                                                                                                            
Listening on LPF/eth1/00:01:02:97:75:d3
Sending on LPF/eth1/00:01:02:97:75:d3
Sending on Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 7
DHCPOFFER from 172.17.64.39
DHCPOFFER from 172.17.64.34
DHCPREQUEST on eth1 to 255.255.255.255 port 67
DHCPACK from 172.17.64.34
bound to 172.17.64.247 -- renewal in 2726 seconds.
[root@my-dhcp-client root]
 
可以看到上面指出 dhclient 收到两个 DHCPOFFER ,一个是来自 172.17.64.39 ,一个是来自 172.17.64.34 ,

所以你只要用
grep DHCPOFFER |grep -v '172.17.64.39' |awk '{print $3}'
就可以找出有那些非法的 DHCP 服务器了

此外还有一个想法,就是利用 dhclient.conf 中的 require 来强制客户机只能从那些服务器获得 ip

只有 server 返回某个选项时(我们可以自定义一个 option space ),客户机才接受这个 offer ,否则拒绝

不知道有没有人试过?

本文出自 “集群存储” 博客,谢绝转载!

阅读(647) | 评论(0) | 转发(0) |
0

上一篇:全程图解:Centos5.2 操作系统安装

下一篇:linux邮件用法

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6