Is your DHCP Server Authoritative?

最新推荐文章于 2024-11-15 17:11:48 发布
最新推荐文章于 2024-11-15 17:11:48 发布
阅读量310 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 操作系统 文章标签: UP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_18932/article/details/81969830
本文探讨了ISCDHCP服务器中'authoritative'指令的重要性及其配置方法。当DHCP服务器作为网络上的唯一授权服务器时,该指令对于拒绝不合理地址请求至关重要。文章还介绍了如何通过配置拒绝来处理迁移过程中旧地址池的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Possibly the single most annoying misconfiguration of the ISC DHCP Server today is forgetting to set the 'authoritative;' directive, when doing so is appropriate.

When a DHCP server believes that a client is requesting an address that is not appropriate for the subnet to which it is attached, for example because a user's laptop received a lease from their home network the night prior, the server is expected to send a DHCPNAK in response to the client's DHCPREQUEST. This causes the client to immediately fall back to INIT state, forget its old lease, and start over from scratch as though it never had one. Out of the box, on a default configuration, ISC DHCP does not do this, and you are expected to configure 'authoritative;' on a line somewhere in your dhcpd.conf if you want this behaviour.

This means that the client will not start getting a lease until it gives up, on its own volition, on its old lease. Client implementations being different, there is nothing barring the client from trying to hold on to its old lease until it reaches its expiry time! Most clients however don't make you wait quite that long, and time out after several minutes.

If ISC DHCP's default configuration directive included this behaviour, than one of its chief uses, as a rogue DHCP server on college campuses, would cause extreme havoc and mayhem and possibly the deaths of several undergraduate students who don't realize the horror of attracting their operators' attentions.

So, if your DHCP server is the only one on the network, or the only one that SHOULD be on the network, or in general if you are in charge of the network to which it is attached and are therefore smart enough to not have more than one (or one failover pair) DHCP server, then you need to set 'authoritative'.

That said, it's still possible that ISC DHCP won't send a DHCPNAK in response to some queries. In particular, to requests for addresses that are within the DHCP server's subnet ranges, and are therefore reasonable for the network to which the client is attached, but do not appear in any pool statement, or host statement's fixed-address, or so forth. Quite often this ocurrs when DHCP pools are migrated, and the DHCP server is just trying to play nice in the event that another DHCP server is in charge of a different pool on the same subnet (and somehow your clients are configured to be smart enough to choose which lease to ask for).

You can tell that this is happening because ISC DHCPD will log a line indicating "Unknown lease."

To elicit DHCPNAKs from the server in this case, you need to configure a denial in the old pool's scope, as this example:

lease-file-name "/var/db/dhcpd.leases";

ddns-update-style none;
authoritative;

option domain-name "your.domain";
option domain-name-servers 10.0.0.2, 10.0.0.3;

default-lease-time 3100;	# 51 minutes.
max-lease-time 604800;		# 1 week


subnet 10.0.0.0 netmask 255.255.255.0 {
	option routers 10.0.0.1;
	option subnet-mask 255.255.255.0;
	option broadcast-address 10.0.0.255;

	# The latest input from layer-9 required us to shift the dynamic
	# range from the top half of the subnet down to the bottom half.
	# This pool clause will elicit NAKs for the old leases while the
	# clients migrate.  Remember to remove this once they've all booted
	# once or expired.
	pool {
		range 10.0.0.1 10.0.0.127;
		deny all clients;
	}
	pool {
		range 10.0.0.128 10.0.0.254;
	}
}
【Router】路由功能之DHCP 地址保留(DHCP Reservations)功能介绍及实现
wgl307293845的博客
09-29 927
基于openwrt-21.02实现dnsmasqdnsmasq -vdnsmasqdhcp-host。
Rogue DHCP Server攻击(仿冒DHCP Server攻击)
墨痕诉清风的博客
07-12 719
为了防止仿冒的DHCP Server攻击,可以设置交换机的“信任/非信任”的工作模式。将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。由于DHCP ServerDHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。当终端开启DHCP服务时,kali便能开始嗅探。
dhcp authoritative参数作用
石头的专栏
12-27 5884
遇到过这样一个问题,手机作为热点,用笔记本去连接 始终处于分配IP阶段,而其它大多数机器又是可以的。 最后调查发现是authoritative缺失,导致客户端长时间等待dhcp分配ip超时。 authoritative; 指定当一个客户端试图获得一个不是该DHCP服务器分配的IP信息,DHCP将发送一个拒绝消息,而不会等待请求超时。当请求被拒绝,客户端会重新向当前DHCP发送IP
linux配置dhcp服务器authoritative参数作用
weixin_33767813的博客
07-04 836
authoritative;指定当一个客户端试图获得一个不是该DHCP服务器分配的IP信息,DHCP将发送一个拒绝消息,而不会等待请求超时。当请求被拒绝,客户端会重新向当前DHCP发送IP请求获得新地址。当网络中有其他的DHCP服务器时,加上此参数可以忽略其他DHCP服务器。可把此参数加在dhcp.conf配置文件的第一行。 转载于:https://blog.51c...
无线网卡dhcp服务器,ubuntu11.10配置无线网卡dhcp服务器记录(not authoritative for subnet 192.168.1.0问题解决)...
weixin_39687990的博客
08-11 768
option routers 192.168.1.100;}如果有DNS服务器的选项本机要配置一下DNS服务apt-get install bind9/etc/bind9/named.conf.options中的forwarders部分添加DNS服务器地址3、修改 /etc/default/isc-dhcp-serverINTERFACES="ra0"4、/etc/init.d/isc-dhcp...
PowerDNS Authoritative Server 3.3 发布
weixin_34168880的博客
07-06 180
PowerDNS Authoritative Server 3.3 发布,该版本改进了不同验证器的交互操作,修复了不少 bug。 PowerDNS Authoritative Server (PDNS) 是一个高性能的权威 DNS 名字服务器,支持文本的 BIND 配置,也可将配置存储与 MySQL, Oracle, PostgreSQL, SQLite, MongoDB 等数据库,后端可使...
authoritative name server vs recursive name server
lyf's blog
06-03 1811
An authoritative name server provides actual answer to your DNS queries such as – mail server IP address or web site IP address (A resource record). It provides original and definitive answers to DNS q
DHCP 服务
cnhunke的博客
01-29 625
自然其他DHCP Server也能收到广播,确认不从自己这里拿IP信息后,会将上步从IP池中拿出来的IP在释放到池中,以便别人使用。体验了DHCP服务器给大家带来的方便后,我们工作轻松了很多,但是随着时间的推移,突然有这么一个问题急需你解决,由于公司的发展壮大,公司人员数量越来越多,公司一个网段的IP无法满足日常使用,所以又加了一个网段。DHCP的作者在写DHCP的时候也想到了这个问题,提出了保留IP的概念,就是将某些IP保留,然后服务器来获得IP的时候,根据其MAC地址做匹配,将对应的IP分给它即可。
Vmware + ubuntu 12.04 LTS虚拟机下提供DHCP服务
Sailor_forever
09-28 7371
目标 需要在Linux下开发一个监控程序,其利用网络登陆到另外一台Linux服务器A上执行一些命令并获取命令执行结果,然后对数据进行分析   基本方案 因为没有Linux的电脑,只能利用vmware安装Linux虚拟机B,如ubuntu 12.04LTS 因为局域网的网络安全问题 Linux虚拟机B无法直接和Linux服务器A通信,因此二者不能通过交换机接到共用网络里因此考虑将二者网线直
综合类实验项目DHCP+DNS+WEB(通俗易懂型)
LS19990712的博客
09-04 2536
实验项目 拓扑图 如图所示,根据需求完成任务: 1.sw2为二层交换机,分别有vlan10,vlan20,vlan100 三个vlan,f1/1-3是接入链路,f1/0为中继链路。 2.sw1为三层交换机,分别为三个vlan提供网关,vlan10:192.168.10.1/24、vlan20:192.168.20.1/24、vlan100:192.168.100.1/24,外网...
计算机网络第六版答案
06-14
21. The maximum emission rate is 500 packets/sec and the maximum transmission rate is 350 packets/sec. The corresponding traffic intensity is 500/350 =1.43 > 1. Loss will eventually occur for each ...
【Mac】dnsmasq 安装与配置
DovSnier 专栏
01-06 3798
一. 问题 二. 安装 三. 配置 四. 参考 一. 问题   前期搭建好 nginx 后,一直都是本机环境,但是我想要内网环境,比如: 局域网服务呢? 二. 安装 使用如下命令,搜索一下潜在的包: $ brew search dnsmasq ==> Formulae dnsmasq dnsmap 使用如下命令进行安装,命令参考如下: $ brew install dnsmasq ==> Downloading .
DHCP——自动管理IP地址
GG Bond 的博客
06-02 2106
DHCP——自动获得ip地址实验
dnsmasq用法
h721510279812的专栏
09-02 1万+
dnsmasq的是一个轻量级的,易于配置的DNS转发器和DHCP服务器。它的目的是给一个小网络提供DNS和可选的DHCP。它可以服务于本地计算机的域名解析。集成的DHCP服务器与DNS服务器,支持DHCP动态地址分配以及DNS域名解析。 dnsmasq能够缓存外部DNS记录,同时提供本地DNS解析或者作为外部DNS的代理。除此之外,dnsmasq所提供的DHCP服务和dhcpd十分相近。如同共动
DHCP 配置
kozazyh的专栏
01-19 667
 安装: emerge -pv dhcp 编辑 nano -w /etc/dhcp/dhcpd.conf authoritative;ddns-update-style ad-hoc;subnet 192.168.1.0 netmask 255.255.255.0 {range 192.168.1.100 192.168.1.254;option subnet-mask
Linux常见服务器——DHCP服务器的搭建
哒哒的博客
08-23 3万+
一.基础知识:1.DHCP简介: DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。 2.DHCP服务器简介: DHCP服务器指的是由服务器控制一段IP地址范围,客户端登录服务
计算机网络 DNS服务介绍
baiiu
01-12 4252
前言 本文梳理DNS服务 DNS是什么 DNS(Domain Name System,域名系统,也称为域名解析系统)是一种把计算机主机名称解析为对应的IP地址的服务。 从网络通信原理上来讲,DNS并不是必需的,因为可以直接通过IP地址进行访问,而且事实上网络通信时最终所采用的寻址方式也是网络层的IP地址寻址。 为什么需要DNS 因为直接使用IP地址来运行各种网络应用的不足: 不便记忆 不方便变更 不安全 为了解决以上host文件名称解析方案中的不足,人们开发了基于域(这里的“域”是指“域名”)的分层命名
ETH钱包地址如何获取 如何购买比特币
热门推荐
松之宅
11-15 50万+
NVIDIA 显卡 显卡型号 核心频率增减量 内存频率增减量 功耗墙(W) 预估算力(ethash算法) RTX 3090 -300
如何在Ubuntu系统上安装和配置DHCP服务器?
最新发布
12-05
在Ubuntu系统上安装和配置DHCP服务器可以按照以下步骤进行: ### 1. 更新系统 首先,确保系统软件包是最新的。打开终端并运行以下命令: ```bash sudo apt update sudo apt upgrade ``` ### 2. 安装DHCP服务器 安装ISC DHCP服务器,这是Ubuntu上常用的DHCP服务器软件。运行以下命令: ```bash sudo apt install isc-dhcp-server ``` ### 3. 配置DHCP服务器 编辑DHCP服务器的配置文件`/etc/dhcp/dhcpd.conf`。使用你喜欢的文本编辑器,例如`nano`: ```bash sudo nano /etc/dhcp/dhcpd.conf ``` 在文件中添加以下配置: ```conf default-lease-time 600; max-lease-time 7200; authoritative; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.100 192.168.1.200; option routers 192.168.1.1; option subnet-mask 255.255.255.0; option domain-name-servers 8.8.8.8, 8.8.4.4; option domain-name "example.com"; } ``` 根据你的网络环境修改上述配置中的IP地址范围、网关、子网掩码和DNS服务器。 ### 4. 指定网络接口 编辑`/etc/default/isc-dhcp-server`文件,指定DHCP服务器监听的网络接口: ```bash sudo nano /etc/default/isc-dhcp-server ``` 找到以下行并修改为你的网络接口名称(例如`eth0`): ```conf INTERFACESv4="eth0" INTERFACESv6="" ``` ### 5. 重启DHCP服务器 配置完成后,重启DHCP服务器以应用更改: ```bash sudo systemctl restart isc-dhcp-server ``` ### 6. 配置防火墙 确保防火墙允许DHCP流量通过。运行以下命令以允许DHCP流量: ```bash sudo ufw allow 67/udp sudo ufw allow 68/udp ``` ### 7. 检查DHCP服务器状态 使用以下命令检查DHCP服务器的状态: ```bash sudo systemctl status isc-dhcp-server ``` 如果一切正常,DHCP服务器应该已经成功运行并开始分配IP地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值