DHCP : 动态主机配置协议 给主机分配地址 而不用管理员手动的一个一个的去配置用户的网络参数。DHCP 服务器将一个地址在有限时期内租给一个客户机 服务器在地址分配时指定租用期 在租用期间
服务器不会将同一个地址租给其他客户机 但在租用期结束时 客户机必须更新租期或停止使用
地址 。一个租用期的最优时间与特定网络和特定主机的需求有关 对于一个变动很快的网
络 为了保证地址能尽快的被再利用 租用期必须短 相反 对一个相对固定的网络 租用期应
客户端和dhcp服务交互的具体过程:
1.如果客户机配置了DHCP自动获取IP地址了。就会在启动时向它所在的子网发送一个DHCPdiscovery广播报文。
2.接收到dhcpdiscovery广播的服务器会广播一个包含可提供的网络地址和其他配置信息的dhcpoffer报文。
3.客户端在收到dhcp服务器的dhcpoffer报文后 向服务器发送一个dhcprequest报文。请求服务器分配dhcpoffer中所指定的网络地址配置信息。
4.服务器收到dhcprequest报文后。会送客户端一个dhcpack 确认报文。并在服务器端记录相关信息。
具体过程如下图:
具体过程参看文件:
下面是linux上DHCP服务器的配置:
1 通过yum 源安装dhcp
yum -y install dhcp
查看安装到哪 和一些重要文件的路径:
rpm -ql dhcp
可以看到dhcp 的几个重要文件的路径:
/etc/dhcpd.conf dhcp服务的配置文件
/etc/rc.d/init.d/dhcpd dhcp服务的启动程序
将dhcpd 服务设为开机自起
chkconfig --level 35 dhcpd on
vim /etc/dhcpd.conf 可以看到里面内容为空的 感觉无从下手。
可以发现文件:
/usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample
是dhcp配置文件的一个样本。
可以cp -p /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf
接下来配置配置文件/etc/dhcpd.conf
或者
man 5 dhcpd.conf 查看dhcp配置文件的具体参数和句法
关键字区别大小写
注释以‘#’开头
DHCP 上可以配置shared-network 有疑问。。。。
同一局域网中获得不同网段的ip怎么出去啊 ?
DHCP 不同网段中继。
三层交换机配置中继代理
全局下:
service dhcp 启动DHCP服务
ip dhcp relay information option
这里假设DHCP 服务器在vlan1 ip地址为192.168.3.1
int vlan 2
ip helper-address 192.18.3.1 启动三层交换机中继功能
路由器配置简单DHCP 服务器:
ip dhcp pool name
network 192.168.1.0 255.255.255.0 提供192.168.1.0 网段
default-router 192.168.1.1 网关
dns-server 192.168.1.1 dns 服务器的ip地址
domain-name example.com 为主机配置域后缀
去除某些地址
ip dhcp excluded-addresses 起始ip 终止ip
在路由器上设置dhcp 中继
ip helper-address dhcp服务器的地址。
DHCP 欺骗
》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》
具体欺骗过程:
情景:DHCP server 练接在核心交换机上,两台客户机连接在接入层交换机上。一台充当DHCP attacker 另一台是client;DHCP attacker 也启用DHCP 服务 并提供ip地址的分配
1. client 首先启动 向所在局域网广播DHCP DISCOVER 包。(broadcast)
2.DHCP server 与 DHCPattacker 都收到了DHCP discover 包,由于两者都启动了DHCP服务。所以收到discover包后都向客户端回一个DHCPOFFER 包.(broadcast)
3. 很明显 因为DHCP attacker 离client比较近。client 端会先收到DHCPattacker回的DHCPOFFER 包。然后回一个DHCPREQUEST 包(broadcast)。后收到的DHCPOFFER 丢弃。
4. DHCPattacker 和 DHCP server 都收到了client端的REQUEST包后 前者给client端会发DHCKACK 包 后者将本打算分配的IP地址收回地址池待其他客户端请求。
到这 DHCP 整个欺骗过程结束。
因为 DHCP attacker 所分配的ip地址和DHCPserver 所分配的ip地址不在同一个区段。所以会造成client无法上网。
可参看:
》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》
防范方法:在交换机上启用DHCP SNOOPING功能
DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。
DHCP SNOOPING截获交换机端口的DHCP应答报文,建立一张包含有用户MAC地址、IP地址、租用期、VLAN ID、交换机端口等信息的一张表,并且DHCP SNOOPING还将交换机的端口分为可信任端口和不可信任端口,当交换机从一个不可信任端口收到DHCP服务器的报文时,比如DHCP0FFER报文、DHCPACK报文、DHCPNAK报文,交换机会直接将该报文丢弃;对信任端口收到的DHCP服务器的报文,交换机不会丢弃而直接转发。一般将与用户相连的端口定义为不可信任端口,而将与DHCP服务器或者其他交换机相连的端口定义为可信任端口,也就是说,当在一个不可信任端口连接有DHCP服务器的话,该服务器发出的报文将不能通过交换机的端口。因此只要将用户端口设置为不可信任端口,就可以有效地防止非授权用户私自设置DHCP服务而引起的DHCP欺骗。
在cisco交换机上启用dhcp监听
ip dhcp snooping
ip dhcp snooping vlan 1 在某一个vlan上启用dhcp监听
接口下启用信任端口
ip dhcp snooping trust
查看:
show ip dhcp snooping
show ip dhcp snooping binding
阅读(529) | 评论(0) | 转发(0) |