DHCP的基本原理 DHCP应用场景:

HCP服务器可以为许多主机分配IP地址并进行集中管理

DHCP报文类型:

DHCP发现器:客户机用于查找DHCP服务器

DHCP offer:DHCP服务器用于响应DHCP discover消息,其中包含各种配置信息

DHCP request :客户端请求验证配置,或者租赁期限延长

DHC包:服务器对请求消息的确认响应。 ack消息包含IP地址、网关等确认信息

DHCP nak :服务器对请求消息的拒绝响应

DCP发行版:用于在客户端释放地址时通知服务器。 cmd允许您使用ipconfig /release释放IP地址。

当接收到ack时,DHCPdecline检查消息信息,例如IP地址,并且当发现问题(例如冲突)时,发送回该消息并拒绝发送回该消息的IP地址

DHCP工作原理:

在发送dhcp offer消息之前,服务器端会发送免费的ARP来检测是否使用了要分发的IP地址

客户端也在正式开始使用IP地址之前发送免费的ARP测试

DHCP地址池:

ARG3系列路由器支持两种类型的地址池:全局地址池和接口地址池

接口地址池为其分配连接到网段的IP地址。 优先顺序变高

全局地址池为连接到每台服务器的所有接口分配一个IP地址

DHCP地址池配置:

DHCP Relay的基本原理 DHCP Relay产生背景:

随着网络规模的增长,网络中的用户可能位于不同的网段。 DHCP广播消息将被丢弃,因为在传输过程中无法跨越两层广播域分发。 如果DHCP服务器无法接收DHCP消息,则无法为客户机分配地址

dhcp relay,也称为dhcp中继,通过在网关设备中提供一个服务器,以帮助转发不超出网络段的dhcp消息,一个dhcp服务器可以为位于多个双层广播域中的dhcp客户端提供服务

DHCP Relay工作原理:

DHCP Relay配置:

DHCP面临的安全问题:由于DHCP的设计没有充分考虑安全因素,留下了许多安全漏洞,DHCP容易受到攻击。 主要有以下三种攻击方法。

1、DHCP饿死公攻击:

CHADDR :客户端的硬件地址(源MAC地址)

攻击原理:攻击者继续向服务器大量申请IP地址,直到服务器地址池中的IP地址耗尽,导致服务器无法分配给正常用户

使用漏洞: DHCP服务器无法分辨合法主机

防护: DHCP snooping防饿死攻击—一致性检查(请求消息帧头的mac地址和chaddr消息字段是否相同,否则不转发),接口允许学习的dhdr

2、模仿服务器攻击:

攻击原理:攻击者伪装服务器,为客户端分配错误的IP地址或提供错误的网关地址,导致客户端无法正常访问网络

使用漏洞:主机与合法服务器分不开

防护:防DHCP snooping网络钓鱼服务器攻击—配置可信和不可信接口()所有缺省设置都是不可信接口,必须手动修复) )。

3、中间人攻击:

攻击原理:攻击者利用ARP机制,使客户端和服务器学习错误的对方IP地址和MAC地址的映射关系

利用的漏洞:通过ARP诈骗攻击客户端和服务器

防护:防止DHCP snooping中间人攻击—设备检查并比较与ARP消息对应的源IP、源MAC、接口、vlan信息和绑定表信息,如果不一致则进行动态ARP丢弃

IPSGDAI IPSG简介

随着网络规模的增大,伪造源IP地址的网络攻击“IP地址伪装攻击”也越来越多,一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络

/p>

    IP源防攻击IPSG是一种基于二层接口的源IP地址过滤技术,能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,确保非授权主机不能通过自己指定的IP地址来访问网络或攻击网络

    防攻击原理:IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃(只匹配检查IP报文,通过二层帧头部中的type字段确认是否属于IP报文)

    绑定表分为静态和动态两种,缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备将拒绝除了DHCP请求报文以外的所有IP报文

 

DAI简介

    为了防御中间人攻击,可以在路由器上部署动态ARP检测DAI功能,利用绑定表来防御中间人攻击

    防攻击原理:当设备收到ARP报文时,将对ARP报文对应的源IP、源MAC、vlan以及接口信息和绑定表的信息进行比较,如果信息匹配,则允许通过,否则丢弃(DAI仅适用于DHCP snooping场景)

    设备使能DHCP snooping功能后,当DHCP用户上线时,设备会自动生成DHCPsnopping绑定表(对于静态配置IP地址的用户,设备不会生成绑定表,所以需要手动添加静态绑定表)

DHCPv6

  基本概念

    DHCPv6是一种运行在客户端和服务器之间的协议,协议报文基于UDP,能为主机分配ipv6地址以及其他网络配置参数,并实现这些参数的集中管理,使用组播报文(组播地址ff02::1:2,指明所有服务器和中继代理地址)无状态自动获取只能获取IP地址,DHCP可以获取其他的信息

    DHCPv6报文承载在UDPv6上,客户端侦听的是546,服务器、中继代理侦听的是547

    DHCPv4客户端侦听的是68,服务器侦听的是67

    每个DHCPv6服务器或客户端有且只有一个唯一标识符DUID(DHCP设备唯一标识符)

      LL:用MAC地址来产生duid
      LLT:MAC地址+配置的时间

  三种角色

    DHCPv6 client:DHCPv6客户端,通过与服务器交互获得IP地址/前缀和网络配置信息,完成自身的地址配置功能

    DHCPv6 relay:DHCPv6中继代理,负责转发来自客户端方向或者服务器方向的DHCPv6报文,协助客户端和服务器完成自身地址配置功能(不是必须存在的角色)v6里面中继出现的场景是客户端和服务器不在同一个共享的网络里面

    DHCPv6 server:DHCPv6服务器,负责处理来自客户端或中继代理的地址分配、租期续借、地址释放等请求,为客户端分配ipv6地址/前缀以及其他网络配置参数

  DHCPv6报文

  DHCPv6地址获取方式

    DHCPv6自动分配

      有状态自动分配:服务器自动配置IPV6地址/前缀,同时分配DNS服务器等网络配置参数

        四步交互分配

       

      两步交互快速分配

      无状态自动分配:仍然通过路由通告方式自动生成,只分配除了IPV6地址以外的配置参数

  DHCPv6配置标记

    托管地址配置标记:M:指示主机使用配置协议来获取有状态地址(为1时)

    其他有状态配置标记:O:指示主机使用配置协议来获取其他配置设置(为1时)

      M=1  O=1—-DHCPV6 有状态自动分配
      M=0  O=0—-DHCPV6 无状态自动分配
      M=0  O=1—-DHCPV6 无状态自动分配

168飞艇6种不亏钱的方法ipv6地址以及其他网络配置参数,并实现这些参数的集中管理,使用组播报文(组播地址ff02::1:2,指明所有服务器和中继代理地址)无状态自动获取只能获取IP地址,DHCP可以获取其他的信息

    DHCPv6报文承载在UDPv6上,客户端侦听的是546,服务器、中继代理侦听的是547

    DHCPv4客户端侦听的是68,服务器侦听的是67

    每个DHCPv6服务器或客户端有且只有一个唯一标识符DUID(DHCP设备唯一标识符)

      LL:用MAC地址来产生duid
      LLT:MAC地址+配置的时间

  三种角色

    DHCPv6 client:DHCPv6客户端,通过与服务器交互获得IP地址/前缀和网络配置信息,完成自身的地址配置功能

    DHCPv6 relay:DHCPv6中继代理,负责转发来自客户端方向或者服务器方向的DHCPv6报文,协助客户端和服务器完成自身地址配置功能(不是必须存在的角色)v6里面中继出现的场景是客户端和服务器不在同一个共享的网络里面

    DHCPv6 server:DHCPv6服务器,负责处理来自客户端或中继代理的地址分配、租期续借、地址释放等请求,为客户端分配ipv6地址/前缀以及其他网络配置参数

  DHCPv6报文

  DHCPv6地址获取方式

    DHCPv6自动分配

      有状态自动分配:服务器自动配置IPV6地址/前缀,同时分配DNS服务器等网络配置参数

        四步交互分配

       

      两步交互快速分配

      无状态自动分配:仍然通过路由通告方式自动生成,只分配除了IPV6地址以外的配置参数

  DHCPv6配置标记

    托管地址配置标记:M:指示主机使用配置协议来获取有状态地址(为1时)

    其他有状态配置标记:O:指示主机使用配置协议来获取其他配置设置(为1时)

      M=1  O=1—-DHCPV6 有状态自动分配
      M=0  O=0—-DHCPV6 无状态自动分配
      M=0  O=1—-DHCPV6 无状态自动分配