HCIA-DHCP
1、定义:DHCP即动态主机配置协议,通过C/S模型架构,无需主机配置IP地址,自动分配网络配置参数的网络协议。
2、作用
| 对比项目 | 无 DHCP | 有 DHCP |
|---|---|---|
| 配置难度 | 配置多,容易出错 | 自动为客户端分配 IP 地址及其他网络配置参数(如子网掩码、默认网关、DNS 服务器地址等),简化网络配置 |
| 工作量 | 需要提前规划地址网段,手动逐台配置设备网络参数,工作量大 | 集中管理网络配置信息,减轻管理员工作量,提升工作效率 |
| 对工作地点不稳定设备的支持 | 工作地点不稳定时,需要多次配置 IP 地址 | 对于移动设备,在不同网络间切换时,可自动分配新网络配置参数,无需手动操作 |
| IP 地址利用率 | 地址利用率过低 | 动态分配 IP 地址,设备离线时收回其占用地址,可再分配给其他设备,避免地址浪费,提高地址资源利用率 |
3、相关概念
①DHCP服务器:运行DHCP服务的网络设备,负责管理地址池,地客户端分配网络配置参数。
②DHCP客户端:使用DHCP服务获取网络配置参数的设备,如手机、电脑等。
③IP地址池:DHCP服务器中可分配IP的地址范围,用于给客户端分配地址。
④租期:DHCP服务器分配的IP地址使用期限。
4、工作模式
①自动分配:DHCP服务器给客户端配置固定的IP,客户端每次获取地址都是该地址。
②动态分配:客户端从服务器中获取临时IP,租期内正常使用,到期后服务器收回重新分配。
③手工分配:需要管理员手动在服务器上为客户端指定一个固定IP。
5、工作原理
①发现阶段:客户端广播发送 DHCP Discover 报文找 DHCP 服务器,报文含客户端硬件地址。
②提供阶段:DHCP 服务器收到 Discover 报文,从地址池选择未分配 IP地址,通过 DHCP Offer 报文给客户端,包含子网掩码、租约期限等。
③请求阶段:客户端可能收到多个DHCP Offer 报文,通常选择第一个报文,且广播发 DHCP Request 报文,向对应服务器请求使用分配到 IP 、掩码等配置,根据报文中服务器 IP 可以表明是哪个服务器分配的配置。
④确认阶段:DHCP 服务器收到 Request 报文,检查 IP 是否可用。若可用发送DHCP Ack 报文确认,客户端获取网络配置信息进行通信;若IP不可用,发送DHCP Nak 报文告知失败,客户端需重发请求 。
6、DHCP中继
①作用:在网络中有多个子网时,当服务器与客户端不在同一个网段时,需要通过 DHCP 中继代理来转发 DHCP 报文,使客户端能够获取到地址
②工作原理:中继设备收到客户端的 DHCP Discover 报文,修改跳数、网关 IP 等字段后,转发给 DHCP 服务器所在子网。服务器处理报文后,把响应发给中继设备,中继代理再转给客户端。
7、DHCP安全问题
| 攻击类型 | 原理 | 危害 |
|---|---|---|
| DHCP 欺骗攻击 | 攻击者部署假 DHCP 服务器,抢在真服务器前响应客户端请求,分配错误网络配置参数 | 客户端连错网络,无法访问合法资源,还可能遭中间人攻击致信息被盗 |
| IP 地址耗尽攻击 | 攻击者用工具向 DHCP 服务器发大量请求,耗尽 IP 地址资源 | 合法客户端无法获 IP,不能接入网络,网络服务中断 |
| IP 地址冲突攻击 | 攻击者设与合法设备相同 IP 或让 DHCP 服务器分配重复 IP | 网络出现 IP 冲突,设备网络连接异常,通信受影响 |
| 信息泄露风险 | DHCP 交互时客户端发的含 MAC 地址等信息的报文,可能因网络漏洞被窃 | 攻击者收集信息进行网络拓扑发现、用户行为分析,实施针对性攻击 |
| 恶意 DHCP 选项注入 | 攻击者在 DHCP 报文中注入如错误路由、非法 DNS 地址等恶意选项字段 | 客户端按恶意选项配置后,网络访问异常,可能遭钓鱼攻击 |
防范措施
①网络设备安全配置
- 启用 DHCP Snooping:在交换机等设备启用,建信任列表,只许合法服务器报文通过,防非法服务器接入。
- 端口安全设置:配置网络端口,限制连接数、绑定 MAC 地址,防攻击者耗尽端口资源与 MAC 地址欺骗。
②DHCP 服务器安全配置
- 地址池管理:按网络规模需求合理规划地址池,留备用地址,定期检查清理,保证分配合理有效。
- 认证与授权:用用户名、密码或数字证书等认证客户端,通过后才能获取配置参数。
③网络监测与审计
- 部署网络监测工具:用网络流量分析、入侵检测系统等,实时监测 DHCP 流量和异常,及时告警安全威胁。
- 日志审计:详记审计 DHCP 服务器和网络设备日志,追溯安全事件,发现潜在问题和攻击。