DHCP基本原理

? DHCP應用場景：

? ? DHCP服務器能為大量主機分配IP地址，且能夠集中管理

? DHCP報文類型：

? ? DHCP discover：客戶端用來尋找DHCP服務器

? ? DHCP offer：DHCP服務器用來響應DHCP discover報文，此報文中攜帶各種配置信息

? ? DHCP request：客戶端請求配置確認或者租期續借

? ? DHCP ack：服務器對request報文的確認響應，ACK報文中包含IP地址、網關等確認信息

? ? DHCP nak：服務器對request報文的拒絕響應

? ? DHCP release：客戶端要釋放地址時用來通知服務器（在cmd中ipconfig /release可以用來釋放IP地址）

? ? DHCP?decline 收到ack時會檢查報文信息比如IP地址，如果發現有問題（如沖突）則回復這個報文用來拒絕下發的IP地址

? DHCP工作原理：

? ? 在發dhcp offer報文之前服務器端會發送免費ARP去檢測要下發的IP地址是否有被人使用
? ? 客戶端在正式開始使用IP地址之前也會發送免費ARP檢測

? DHCP地址池：

? ? ARG3系列路由器支持兩種地址池：全局地址池和接口地址池

? ? 接口地址池會給連接到一個網段的分配IP地址（優先級更高）
? ? 全局地址池為連接到各臺服務器的所有接口分配IP地址

? DHCP地址池配置：

DHCP Relay基本原理

? DHCP Relay產生背景：

? ? 隨著網絡規模的擴大，網絡中會出現用戶處于不同網段的情況，因為DHCP廣播消息在傳輸過程中無法跨越二層廣播域傳遞，故會被丟棄，DHCP服務器無法接受到DHCP消息則無法為客戶端分配地址

??dhcp relay也稱dhcp中繼，在網關設備上配置可以幫忙轉發無法跨越網段的dhcp消息傳遞到服務器，實現了使用一個DHCP server為多個二層廣播域中的DHCP client提供服務，節省成本又便于集中管理

? DHCP Relay工作原理：

? DHCP Relay配置：

DHCP面臨的安全問題：

? DHCP在設計上未充分考慮到安全因素，從而留下了許多安全漏洞，使得DHCP很容易受到攻擊，主要有以下三種攻擊方式：

? ? 1、DHCP餓死公攻擊：
? ? ? ? ?CHADDR：客戶端的硬件地址（源MAC地址）
? ? ? ? ?攻擊原理：攻擊者持續大量向服務器申請IP地址，直到耗盡服務器地址池中的IP地址導致服務器不能給正常的用戶進行分配

? ? ? ? ?利用的漏洞：DHCP服務器無法分辨合法的主機
? ? ? ? ?防護：DHCP snooping防餓死攻擊 ----一致性檢查（request報文幀頭mac地址和chaddr報文字段是否相同，相同才轉發）、限制接口允許學習的DHCP snooping綁定表項的MAC數量

? ? 2、仿冒服務器攻擊：
? ? ? ? ?攻擊原理：攻擊者仿冒服務器，向客戶端分配錯誤的IP地址及提供錯誤的網關地址等參數導致客戶端無法正常訪問網絡

? ? ? ? ?利用的漏洞：主機無法區別合法服務器
? ? ? ? ?防護：DHCP snooping防仿冒服務器攻擊 ---配置信任接口和非信任接口（默認都為非信任接口，需要手動修改）

? ? 3、中間人攻擊：
? ? ? ? ?攻擊原理：攻擊者利用ARP機制，讓客戶端和服務器學到錯誤的對方的IP地址和MAC地址的映射關系

? ? ? ? ?利用的漏洞：通過ARP欺騙攻擊客戶端和服務器?? ?
? ? ? ? ?防護：DHCP snooping防中間人攻擊--- 配置動態ARP檢測，讓設備將ARP報文對應的源IP、源MAC、接口、vlan信息和綁定表中的信息進行檢查對比，如果不一致則丟棄

IPSG&DAI

? IPSG簡介

? ? 隨著網絡規模增大，通過偽造源IP地址實施的網絡攻擊（簡稱IP地址欺騙攻擊）也增多，一些攻擊者通過偽造合法用戶的IP地址獲取網絡訪問權限，非法訪問網絡，甚至造成合法用戶無法訪問網絡或者信息泄露

? ? IP源防攻擊IPSG是一種基于二層接口的源IP地址過濾技術，能夠防止惡意主機偽造合法主機的IP地址來仿冒合法主機，確保非授權主機不能通過自己指定的IP地址來訪問網絡或攻擊網絡

? ? 防攻擊原理：IPSG利用綁定表（源IP地址、源MAC地址、所屬VLAN、入接口的綁定關系）去匹配檢查二層接口上收到的IP報文，只有匹配綁定表的報文才允許通過，其他報文將被丟棄（只匹配檢查IP報文，通過二層幀頭部中的type字段確認是否屬于IP報文）

? ? 綁定表分為靜態和動態兩種，缺省情況下，如果在沒有綁定表的情況下使能了IPSG，設備將拒絕除了DHCP請求報文以外的所有IP報文

?

DAI簡介

? ? 為了防御中間人攻擊，可以在路由器上部署動態ARP檢測DAI功能，利用綁定表來防御中間人攻擊

? ? 防攻擊原理：當設備收到ARP報文時，將對ARP報文對應的源IP、源MAC、vlan以及接口信息和綁定表的信息進行比較，如果信息匹配，則允許通過，否則丟棄（DAI僅適用于DHCP snooping場景）

? ? 設備使能DHCP snooping功能后，當DHCP用戶上線時，設備會自動生成DHCPsnopping綁定表（對于靜態配置IP地址的用戶，設備不會生成綁定表，所以需要手動添加靜態綁定表）

DHCPv6

? 基本概念

? ? DHCPv6是一種運行在客戶端和服務器之間的協議，協議報文基于UDP，能為主機分配ipv6地址以及其他網絡配置參數，并實現這些參數的集中管理，使用組播報文（組播地址ff02::1:2，指明所有服務器和中繼代理地址）無狀態自動獲取只能獲取IP地址，DHCP可以獲取其他的信息

? ? DHCPv6報文承載在UDPv6上，客戶端偵聽的是546，服務器、中繼代理偵聽的是547

? ? DHCPv4客戶端偵聽的是68，服務器偵聽的是67

? ? 每個DHCPv6服務器或客戶端有且只有一個唯一標識符DUID（DHCP設備唯一標識符）

? ? ? LL：用MAC地址來產生duid
? ? ? LLT：MAC地址+配置的時間

? 三種角色

? ? DHCPv6 client：DHCPv6客戶端，通過與服務器交互獲得IP地址/前綴和網絡配置信息，完成自身的地址配置功能

? ??DHCPv6 relay：DHCPv6中繼代理，負責轉發來自客戶端方向或者服務器方向的DHCPv6報文，協助客戶端和服務器完成自身地址配置功能（不是必須存在的角色）v6里面中繼出現的場景是客戶端和服務器不在同一個共享的網絡里面

? ? DHCPv6 server：DHCPv6服務器，負責處理來自客戶端或中繼代理的地址分配、租期續借、地址釋放等請求，為客戶端分配ipv6地址/前綴以及其他網絡配置參數

? DHCPv6報文

? DHCPv6地址獲取方式

? ? DHCPv6自動分配

? ? ? 有狀態自動分配：服務器自動配置IPV6地址/前綴，同時分配DNS服務器等網絡配置參數

? ? ? ? 四步交互分配

? ? ? ?

? ? ? 兩步交互快速分配

? ? ? 無狀態自動分配：仍然通過路由通告方式自動生成，只分配除了IPV6地址以外的配置參數

? DHCPv6配置標記

? ? 托管地址配置標記：M：指示主機使用配置協議來獲取有狀態地址（為1時）

? ? 其他有狀態配置標記：O：指示主機使用配置協議來獲取其他配置設置（為1時）

? ? ? M=1 ?O=1----DHCPV6 有狀態自動分配
? ? ? M=0 ?O=0----DHCPV6 無狀態自動分配
? ? ? M=0 ?O=1----DHCPV6 無狀態自動分配

總結

以上是生活随笔為你收集整理的DHCPDHCPv6原理及安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。