DHCP的基本原理 DHCP应用场景:
HCP服务器可以为许多主机分配IP地址并进行集中管理
DHCP报文类型:
DHCP发现器:客户机用于查找DHCP服务器
DHCP offer:DHCP服务器用于响应DHCP discover消息,其中包含各种配置信息
DHCP request :客户端请求验证配置,或者租赁期限延长
DHC包:服务器对请求消息的确认响应。 ack消息包含IP地址、网关等确认信息
DHCP nak :服务器对请求消息的拒绝响应
DCP发行版:用于在客户端释放地址时通知服务器。 cmd允许您使用ipconfig /release释放IP地址。
当接收到ack时,DHCPdecline检查消息信息,例如IP地址,并且当发现问题(例如冲突)时,发送回该消息并拒绝发送回该消息的IP地址
DHCP工作原理:
在发送dhcp offer消息之前,服务器端会发送免费的ARP来检测是否使用了要分发的IP地址
客户端也在正式开始使用IP地址之前发送免费的ARP测试
DHCP地址池:
ARG3系列路由器支持两种类型的地址池:全局地址池和接口地址池
接口地址池为其分配连接到网段的IP地址。 优先顺序变高
全局地址池为连接到每台服务器的所有接口分配一个IP地址
DHCP地址池配置:
DHCP Relay的基本原理 DHCP Relay产生背景:
随着网络规模的增长,网络中的用户可能位于不同的网段。 DHCP广播消息将被丢弃,因为在传输过程中无法跨越两层广播域分发。 如果DHCP服务器无法接收DHCP消息,则无法为客户机分配地址
dhcp relay,也称为dhcp中继,通过在网关设备中提供一个服务器,以帮助转发不超出网络段的dhcp消息,一个dhcp服务器可以为位于多个双层广播域中的dhcp客户端提供服务
DHCP Relay工作原理:
DHCP Relay配置:
DHCP面临的安全问题:由于DHCP的设计没有充分考虑安全因素,留下了许多安全漏洞,DHCP容易受到攻击。 主要有以下三种攻击方法。
1、DHCP饿死公攻击:
CHADDR :客户端的硬件地址(源MAC地址)
攻击原理:攻击者继续向服务器大量申请IP地址,直到服务器地址池中的IP地址耗尽,导致服务器无法分配给正常用户
使用漏洞: DHCP服务器无法分辨合法主机
防护: DHCP snooping防饿死攻击---一致性检查(请求消息帧头的mac地址和chaddr消息字段是否相同,否则不转发),接口允许学习的dhdr
2、模仿服务器攻击:
攻击原理:攻击者伪装服务器,为客户端分配错误的IP地址或提供错误的网关地址,导致客户端无法正常访问网络
使用漏洞:主机与合法服务器分不开
防护:防DHCP snooping网络钓鱼服务器攻击---配置可信和不可信接口()所有缺省设置都是不可信接口,必须手动修复) )。
3、中间人攻击:
攻击原理:攻击者利用ARP机制,使客户端和服务器学习错误的对方IP地址和MAC地址的映射关系
利用的漏洞:通过ARP诈骗攻击客户端和服务器
防护:防止DHCP snooping中间人攻击---设备检查并比较与ARP消息对应的源IP、源MAC、接口、vlan信息和绑定表信息,如果不一致则进行动态ARP丢弃
IPSGDAI IPSG简介
随着网络规模的增大,伪造源IP地址的网络攻击“IP地址伪装攻击”也越来越多,一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络
/p>IP源防攻击IPSG是一种基于二层接口的源IP地址过滤技术,能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,确保非授权主机不能通过自己指定的IP地址来访问网络或攻击网络
防攻击原理:IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃(只匹配检查IP报文,通过二层帧头部中的type字段确认是否属于IP报文)
绑定表分为静态和动态两种,缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备将拒绝除了DHCP请求报文以外的所有IP报文
DAI简介
为了防御中间人攻击,可以在路由器上部署动态ARP检测DAI功能,利用绑定表来防御中间人攻击
防攻击原理:当设备收到ARP报文时,将对ARP报文对应的源IP、源MAC、vlan以及接口信息和绑定表的信息进行比较,如果信息匹配,则允许通过,否则丢弃(DAI仅适用于DHCP snooping场景)
设备使能DHCP snooping功能后,当DHCP用户上线时,设备会自动生成DHCPsnopping绑定表(对于静态配置IP地址的用户,设备不会生成绑定表,所以需要手动添加静态绑定表)
DHCPv6基本概念
DHCPv6是一种运行在客户端和服务器之间的协议,协议报文基于UDP,能为主机分配ipv6地址以及其他网络配置参数,并实现这些参数的集中管理,使用组播报文(组播地址ff02::1:2,指明所有服务器和中继代理地址)无状态自动获取只能获取IP地址,DHCP可以获取其他的信息
DHCPv6报文承载在UDPv6上,客户端侦听的是546,服务器、中继代理侦听的是547
DHCPv4客户端侦听的是68,服务器侦听的是67
每个DHCPv6服务器或客户端有且只有一个唯一标识符DUID(DHCP设备唯一标识符)
LL:用MAC地址来产生duid
LLT:MAC地址+配置的时间
三种角色
DHCPv6 client:DHCPv6客户端,通过与服务器交互获得IP地址/前缀和网络配置信息,完成自身的地址配置功能
DHCPv6 relay:DHCPv6中继代理,负责转发来自客户端方向或者服务器方向的DHCPv6报文,协助客户端和服务器完成自身地址配置功能(不是必须存在的角色)v6里面中继出现的场景是客户端和服务器不在同一个共享的网络里面
DHCPv6 server:DHCPv6服务器,负责处理来自客户端或中继代理的地址分配、租期续借、地址释放等请求,为客户端分配ipv6地址/前缀以及其他网络配置参数
DHCPv6报文
DHCPv6地址获取方式
DHCPv6自动分配
有状态自动分配:服务器自动配置IPV6地址/前缀,同时分配DNS服务器等网络配置参数
四步交互分配
两步交互快速分配
无状态自动分配:仍然通过路由通告方式自动生成,只分配除了IPV6地址以外的配置参数
DHCPv6配置标记
托管地址配置标记:M:指示主机使用配置协议来获取有状态地址(为1时)
其他有状态配置标记:O:指示主机使用配置协议来获取其他配置设置(为1时)
M=1 O=1----DHCPV6 有状态自动分配
M=0 O=0----DHCPV6 无状态自动分配
M=0 O=1----DHCPV6 无状态自动分配