|
DHCP产生的背景: 1. BOOTP是静态分配IP地址的,满足不了灵活性和IP地址利用率的需求; 2. 减少了网管员的工作量。 注:DHCP可以理解为BOOTP的增强版本。
DHCP报文: 报文格式: DHCP有八种报文:DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK,DHCPRELEASE,DHCPDECLINE,DHCPINFORM。 分别介绍: DHCPDISCOVER 用以发现网络中的DHCP服务器的。客户端发出; DHCPOFFER 用以响应DHCPDISCOVER请求,服务器发出; DHCPREQUEST 用来请求配置参数或者续借租期,客户端发出; DHCPACK 确认报文,服务器发出; DHCPNAK 否定应答,服务器发出; DHCPRELEASE 告知不再需要分配的IP地址,客户端发出; DHCPDECLINE 告知服务器所分配的IP不能使用,客户端发出; DHCPINFORM 已有IP地址,用来请求其他配置参数。
相关概念: DHCP SERVER : DHCP服务器,为用户提供可用的IP地址。 DHCP CLIENT : DHCP客户端,通过DHCP动态申请IP地址的用户。 DHCP RELAY : DHCP中继,用户跨网段申请IP地址时,实现报文的中继转发功能。 DCHP SECURITY : DHCP安全特性,实现合法用户IP地址表的管理功能。 DHCP SNOOPING : DHCP监听,记录通过二层设备申请到IP地址的用户信息。
DHCP客户端工作过程: 1.DHCP客户端首次获取IP地址
说明:客户端只接收第一个OFFER报文
2.DHCP客户端更新租约
说明:50%时请求续约,即询问是否可以继续使用分到的IP地址,服务器回应ACK则续约成功,回应NAK则重新发起申请过程; 若服务器不回应则在87.5%时再请求续约一次。
3.客户端重启后 重启后不进行DISCOVER的申请,而是直接发送REQUEST报文给服务器。
DHCP服务器工作过程: 1. 建立和维护地址池 2. 给客户端分配一个可用的IP地址 3. 提供扩展的网络配置信息 4. 处理客户端发送来的DHCP报文 5. 为客户端处理延长租期的请求 6. 设定或释放保留地址 7. 探测分配IP地址的活动情况 8. 配置相关网络参数以告知客户端
DHCP中继工作过程: 示意图:
1. 建立DHCP中继设备与DHCP服务器组的关联关系 2. 处理DHCP中继报文 3. 提供安全检查功能(主要包括通过日志发现伪装的DHCP服务器)
DHCP面临的攻击类型: 1.DHCP服务欺骗攻击 2.ARP中间人攻击 3.IP/MAC欺骗攻击 4.DHCP报文洪泛攻击
DHCP Snooping: DHCP Snooping是DHCP的安全特性。当交换机开启DHCP Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。 DHCP Snooping主要实现如下两方面的功能: 1、过滤不信任端口上的DHCP SERVER的响应消息;(抵御DHCP服务欺骗攻击) 2、记录用户的IP地址和MAC地址的绑定关系。(抵御ARP中间人攻击和IP/MAC欺骗攻击) DHCP Snooping可以抵御DHCP服务欺骗攻击、ARP中间人攻击和IP/MAC欺骗攻击,对于洪泛攻击(DoS)只能采用报文限速的方法。报文限速功能应用在端口,被限制后一段时间自动开启。
DHCP Snooping信任端口功能示意图
 ARP入侵检测功能示意图 |
