DHCP部署与安全

DHCP作用

自动分配IP地址

DHCP相关概念

DHCP（Dynamic Host Configuration Protocol）动态主机配置协议

地址池/作用域：（IP、子网掩码、网关、DNS、租期），DHCP 协议端口是UDP 67/68

DHCP优点

渐少工作量、避免IP冲突、提高地址利用率

DHCP原理

也称为DHCP租约过程，分为四个步骤：

1）发送DHCP Discovery广播包

​ 客户机广播请求IP地址（包含客户机的MAC地址）

2)响应DHCP Offer广播包

​ 服务器响应提供的IP地址（但无子网掩码、网关等参数）

3）发送DHCP Request广播包

​ 客户机选择IP（也可以认为确认使用哪个IP）

4）发送DHCO ACK广播包

​ 服务器确定了租约，并提供网卡详细参数IP、掩码、网关、DNS、租期等

DHCP续约

当50%过后，客户机 会再次发送DHCP Request包，进行续约，如服务器无响应，则继续使用并在87.5%再次DHCP Request包，进行续约，如仍然无响应，并释放IP地址，及重新发送DHCP Discovery广播包来获取IP地址，当无任何服务器响应时，自动给自己分配一个169.254.x.x/16，属于全球统一无效地址，用于临时内网通信。

ps：DHCP续约时间的计算：

如果在地址池中任何一个IP 的租约仅为1小时，那么A在1.00时刻得到了DHCP服务，而在1.30时刻，A发起续约请求并成功续约，此时A的到期时间变为2.30而非2.00

部署DHCP服务器

1）IP地址固定（服务器必须固定IP地址）

2）安装DHCP服务插件

3）新建作用域及作用域选项

4）激活

5）客户机验证：

验证可用的cmd命令：

ipconfig /release  释放IP（取消租约，或者改为手动配置IP，也可以释放租约）

ipconfig /renew  重新获取IP   （有IP时，发送Request续约。无IP时发送Discovery重新获取IP）

地址保留

针对指定的MAC 地址，固定动态分配IP地址

选项优先级

作用域选项>服务器选项

当服务器上有多个作用域时，可以在服务器选项上设置DNS服务器，也可以在作用域选项上设置

DHCP攻击与防御

1）攻击DHCP服务器：频繁 的发送伪装DHCP请求，直到将DHCP地址池耗尽

​ 防御：在交换机上（管理型）的端口上做动态MAC 地址绑定

2）伪装DHCP服务器攻击：黑客通过将自己部署为DHCP服务器，为客户机提供非法地址（无法上网的）

​ 防御：在交换机上，除合法的DHCP服务器所在接口外，全部设置为禁止发送DHCP offer包