首页 > 其他分享 >DHCP部署与安全

DHCP部署与安全

时间:2024-08-28 21:39:41浏览次数:8  
标签:部署 IP 报文 安全 IP地址 DHCP 客户机 客户端

DHCP部署与安全

1.DHCP是动态主机配置协议,使用UDP协议工作,目的是获取相应的IP地址,可以动态分配IP地址,根据租约到期或者续约租期方式来管理IP地址的分配。

2.DHCP服务器住在67端口,DHCP客户端住在68端口

Client传送封包给Server时,源是UDP 68端口,目的是UDP 67端口

从Server传送给Client时,源是UDP 67端口,目的是UDP 68端口

3.DHCP工作过程

  • 客户机向服务器发送DHCP_discover报文,申请IP。
  • 服务器向客户端返回DHCP_OFFER报文,指定一个将要分配的IP。
  • 客户机向服务器发送DHCP_REQUSET报文,请求这个IP。
  • 服务器ping几次这个IP(通常为3次),若没有响应,则代表这个IP无人用,可以分配给客户机,之后向客户机发送DHCP_ACK报文,确认可以分配;若有响应,则代表有人用,会发送DHCP_NAK报文,拒绝分配。
  • 若客户端收到DHCP_ACK,则发送一次免费的ARP,判断这个IP是否已被使用,没有则绑定这个IP;否则向服务器发送DHCP_DECLINE报文,拒绝这次分配,并重新执行第一步。 若收到DHCP_NAK,则直接重新执行第一步。

4.续约租期

  • 当客户机IP地址已经用到50%的时间,续租一下,客户端会以单播形式向服务端发一个request包,服务器响应时会回应一个ACK包,重新约定一个时间。
  • 若服务器无响应,客户机会继续使用地址,当使用到87.5%时,会在续租一次,同时以广播方式发送一个request,服务端收到后,会响应一个ACK包,重新约定一个时间。
  • 若服务器还是没有响应,客户机就会直接使用到过期。

5.重新连接使用IP地址

客户端重新登陆网络时,可以不需要从第一步发送DISCOVER报文开始,可以直接发送REQUEST报文给服务器。

6.客户端主动释放IP地址

ipconfig -release //释放
ipconfig -renew   //重连
7.DHCP安全性

可能受到恶意DHCP服务器攻击(无法上网、或引导到外网,抓明文流量)、DHCP饥饿攻击(将IP地址全都用完)

措施:

  • 设置适当租约时间:让IP地址不会长期被占用,减轻攻击的影响。
  • 使用MAC地址过滤:因为一个MAC地址只可以租用一个IP,所以可以通过过滤MAC地址,允许已知地址租用来预防攻击,但需要管理员手动维护,对大型动态网络来说,难以管理。
  • 限制客户端的IP分配:限制客户端所能获取的IP地址的数量,预防饥饿攻击。
  • DHCP Snooping:嗅探,它确保只有受信任的端⼝可以响应DHCP请求,阻⽌未经授权的设备分配IP地址。
  • 监控与警报:检测到异常获取IP的行为即使报警。
  • 安全强化:保持系统和软件的最新状态,及时更新,减少已知漏洞被利用的机会。

标签:部署,IP,报文,安全,IP地址,DHCP,客户机,客户端
From: https://www.cnblogs.com/valder-/p/18385564

相关文章

  • 学习爬虫day29-瑞数动态安全
    过瑞数的基本方法:自动化工具(非常NB,如:selenuim,playwrite),补环境,纯算;浏览器开无痕模式今天学习深圳大学的案例。1、解决无限dubugger:断点设置:一律不在此处暂定(debugger),注入js,重写debugger;方法一:控制台输入以下代码并执行let_Function=function;Function=function(s){if......
  • 基于springboot+vue.js的超市购物系统附带文章源码部署视频讲解等
    文章目录前言详细视频演示具体实现截图核心技术介绍后端框架SpringBoot前端框架Vue持久层框架MyBaits为什么选择我代码参考数据库参考测试用例参考源码获取前言......
  • 基于springboot+vue.js的短文写作竞赛管理系统附带文章源码部署视频讲解等
    文章目录前言详细视频演示具体实现截图核心技术介绍后端框架SpringBoot前端框架Vue持久层框架MyBaits为什么选择我代码参考数据库参考测试用例参考源码获取前言......
  • 2024羊城杯hiden和数据安全2解
     Misc-hiden 下载附件得到内容如下 音频没看到有明显的摩斯密码,再去研究一下txttxt内容为rot加密ROT47解码:得到一段标准代码凯撒解密,偏移量是13(或者直接rot13)代码意思如下:1、打开名为flag.txt的文件并以二进制模式读取其内容到变量txt_data,获取txt_data......
  • 【安全运营】如何制定有效的告警处置规范与标准 - 参考框架
    告警处置规范与流程一、告警处置流程二、告警处置的注意事项告警分级标准一、告警分级定义的标准二、告警优先级的定义标准原创Drbool布博士2024年08月07日18:01广东以下为参与众多告警项目,一般的规范参考与框架及建议,旨在帮助您的团队更高效......
  • 安全算法
    统一认证:SSO参考:https://cloud.tencent.com/developer/article/2353704  单点登录英文全称SingleSignOn,简称SSO。它的定义是:在多个应用系统中,用户只需要登录一次,即可访问所有相互信任的应用系统。SSO服务用于解决同一公司不同业务应用之间的身份认证问题,只需要登录一次,......
  • 利用api方式部署流式接口到nginx服务器,api无法流式输出,但localhost和ip可以的问题
    需要在nginx代理中,配置:proxy_cacheoff;#关闭缓存proxy_bufferingoff;#关闭代理缓冲chunked_transfer_encodingon;#开启分块传输编码tcp_nopushon;#开启TCPNOPUSH选项,禁止Nagle算法tcp_nodelayon;#开启TCPNODELAY选项,禁止延迟ACK算法keepalive_t......
  • 【阅己书城】docker部署MySQL及Redis
    一、MySQL1拉取mysql镜像dockerpullmysql:5.72启动mysql容器--name指定容器名字-v目录挂载-p指定端口映射-e设置mysql参数-d后台运行dockerrun--namemysql-v/mydata/mysql/data:/var/lib/mysql-v/mydata/mysql/conf:/etc/mysql-v/mydata/mysql/log:/var/......
  • 防范SSL协议降级攻击:Nginx负载均衡的安全策略
    引言在网络安全领域,SSL/TLS协议降级攻击是一种常见的攻击手段,攻击者通过诱导客户端使用较低版本的SSL/TLS协议,利用已知的安全漏洞来截取或篡改通信内容。Nginx作为广泛使用的Web服务器和反向代理,提供了多种配置选项来防范此类攻击。本文将详细介绍SSL协议降级攻击的原理、N......
  • 基于Ubuntu部署企业级kubernetes集群---k8s集群容器运行时Containerd准备
    1.Containerd部署文件获取1.下载 Containerd文件wgethttps://github.com/containerd/containerd/releases/download/v1.7.21/cri-containerd-1.7.21-linux-amd64.tar.gz2.查看下载的文件 3.解压到当前文件到根目录下tarxfcri-containerd-1.7.21-linux-amd64.tar.g......