本文深入探讨了DHCP和DNS的部署与安全,包括DHCP的作用、原理、优点、漏洞及其防御,以及DNS的解析过程、服务器搭建、域名组成和安全问题。详细阐述了DHCP的四个步骤和DNS的查询类型,强调了地址保留和选项优先级。同时,介绍了DNS服务器的搭建和客户机解析域名的过程,以及如何防御DNS攻击。
目录
第十章 DHCP部署与安全
一.DHCP的作用
全名:Dynamic Host Configure Protocol(动态主机配置协议)
作用:自动分配IP地址(可以自己配置IP,但从事其他行业的人并不一定知道如何自行配置)
二.DHCP相关概念
地址池/作用域(IP、子网掩码、网关、DNS、租期),DHCP的协议端口是UDP 67/68
举例解释:就像机房里的电脑,每台都需要地址,但每台没有地址不影响,只要把所有地址放在一台服务器上,相当于创建了一个放地址的池子,每台机器想要上网都得发送请求,让服务器给出上述五个条件才能正常上网。
ps:(作用域是微软自己起的名字,其他厂商基本使用地址池)
三.DHCP的优点
减少工作量、避免IP冲突、提高地址利用率
四.DHCP原理 (重点)
1.原理
DHCP原理也称为DHCP租约过程,分为四个步骤:
例子解释:假设你去大街上,对着广播喊租房,这时,听到你请求的房东用广播回应你他有房要租,然后是带你看房,你同意,签合同,给你钥匙。但如果在你喊出去的同时有两个或多个房东回应,你只会接受第一个回应你的(不可能同时回应)。
1)客户机发送DHCP DISCOVERY广播包(客户找房子)
客户机广播请求IP地址(包含客户机的MAC地址)
ps:要带有唯一表示,让服务器知道谁在请求,MAC地址是物理地址,每台计算机的唯一标识。
2)服务器响应DHCP Offer广播包(房东回应,带你看房,没给你钥匙等)
服务器响应提供的IP地址(但无子网掩码、网关、DNS等)
3) 客户机发送DHCP Request广播包(客户说明自己的需要,确认要哪个房)
客户机选择IP(也可认为确认使用哪个IP)。
4)服务器发送DHCP ACK广播包(签订合同,房东给你钥匙)
服务器确定了租约(服务器生成一张表,记录什么时候,客户机的mac地址使用了哪个ip,什么时候结束等信息),并提供网卡详细参数IP、掩码、网关、DNS、租期等。
2.漏洞
1)普通交换机的bug
当客户机使用kail(能够伪造mac地址)向交换机一直发送广播包,会导致交换机瘫痪,因此,公司一般使用企业级交换机(绑定mac地址,只有绑定过的才回应)
2)部分客户机瘫痪bug
当一台用户机伪造DHCP时,部分客户机发送discovery包时会被此用户机先回应,导致无法上网。
五.DHCP续约
当时间过一半时,客户机会再次发送DHCP Request包,进行续约,此续约会清空原先的时间重新从你续约的时候加时间,而不是从你上次续约结束后加时间,如服务器无响应,则继续使用并在87.5%再次DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址,当无任何服务器响应时,自动给自己分配一个169.254.x.x/16
(全球统一的ip,无法上网)。
例如:你租了一年的房,过了半年,你又再续约一年,从你续约那一刻加一年,此时你总共有的租期是一年半,而不是两年
规定约期视情况而定,长也不好,短也不好。
六.部署DHCP服务器
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户机验证:
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /renew 重新获取IP(有IP时,发送request续约,无IP时发送Discovery重新获取)
具体步骤
1)连接两虚拟机至同一局域网
2)IP地址固定(服务器必须固定IP地址)
本地连接-属性-常规-TCP/IP(双击)
3)安装DHCP服务插件
(网络服务中的DHCP服务,双击打开)
4)新建作用域及作用域选项
开始-管理工具-DHCP
最低0.47元/天 解锁文章
扫一扫
1208
到【灌水乐园】发言
