华为路由交换基础知识学习笔记-DHCP

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

DHCP

1 DHCP产⽣背景

1.1 ⼿⼯配置⽹络参数存在的问题

⼈员素质要求⾼

容易出错

灵活性差

IP地址资源利⽤率低

⼯作量⼤

1.2 DHCP优点

效率⾼

灵活性强

易于管理

2 DHCP基本原理

2.1 四个阶段

2.1.1 发现阶段：主机上的DHCP Client开始运⾏后，向⾃身所在⼆层⼴播域⼴播⼀个

DHCP Discover消息寻找DHCP Server。

2.1.2 提供阶段：每⼀个接收到DHCP Discover消息的DHCP Server都会从⾃⼰维护的地址池

中选择⼀个合适的IP地址，通过DHCP Oﬀer消息以单播⽅式发送给DHCP Client。

2.1.3 请求阶段：主机上的DHCP Client收到若⼲个DHCP Oﬀer消息后，根据某种原则确定

⾃⼰将要接受哪个Oﬀer（通常为最先收到的那个），再以⼴播⽅式向所在⼆层⼴播域⼴

播⼀个DHCP Request消息，表明⾃⼰希望获取到所接受的那个DHCP Server提供的IP。注

意，这个Request消息中带有那个DHCP Server的标识（Server Identifier），表明该主机只

接受那个DHCP Server所给出的Oﬀer。

2.1.4 确认阶段：被请求的DHCP Server以单播⽅式向主机上的DHCP Client发送⼀个DHCP

Ack消息。注意，DHCP Server也可能因为某种原因向主机上的DHCP Client发送⼀个DHCP

Nak消息，表明此次获取IP的尝试失败了。此时，主机只能回到发现阶段重新开始尝试获

取IP。

2.2 IP地址租约期和续租

2.2.1 租约期（Duration Lease）：DHCP Server每次给DHCP Client分配⼀个IP地址时，只

是和Client定⽴了⼀个关于这个IP地址的租约（Lease），DHCP协议规定租约期的缺省值

不得⼩于1h，实际部署时缺省值⼀般为24h。超过租约期，Client将不能继续使⽤该IP，

但在到期前可以续租。

2.2.2 续租：租约期到达50%时，Client会以单播⽅式向Server发送⼀个DHCP Request消

息，请求续租当前使⽤的IP（即重新开始计算租约期），如果租约期87.5%的时间之前

Client收到了Server回应的Ack消息，则续租成功。如果过了87.5%未收到Ack，则Client向

所在⼆层⼴播域⼴播⼀个DHCP Request消息请求续租，在租约期满前如果得到Server回

应的Ack，则续租成功。超过租约期，Client必须重新申请IP。

3 DHCP Relay

3.1 作⽤：

DHCP Relay专⻔在DHCP Client和DHCP Server之间中转DHCP消息。

通过DHCP Relay的中转，⼀个DHCP Server可以同时为多个⼆层⼴播域的DHCP Client提供DHCP服务，进⼀步提⾼IP地址使⽤效率。

3.2 位置：DHCP Relay必须与DHCP Client位于同⼀个⼆层⼴播域，但不要求必须和DHCP

Server位于同⼀个⼆层⼴播域。

3.3 通信⽅式：

DHCP Relay和DHCP Client之间以⼴播⽅式交换DHCP消息（⼆层通信）

DHCP Relay和DHCP Server之间以单播⽅式交换DHCP消息（三层通信）

4 DHCP⾯临的三⼤安全威胁

4.1 DHCP饿死攻击

4.1.1 原理：攻击者持续、⼤量地向DHCP Server申请IP地址，直到耗尽DHCP Server地址池

中的IP地址。

4.1.2 漏洞：DHCP Server向申请者分配IP时，⽆法区分合法⽤户和⾮法⽤户。

4.2 仿冒DHCP Server攻击

4.2.1 原理：攻击者仿冒DHCP Server，向DHCP Client分配错误的IP地址、⽹关地址等参

数。

4.2.2 漏洞：DHCP Client⽆法分辨DHCP Server的合法性。

4.3 DHCP中间⼈攻击

4.3.1 漏洞：假设主机为A，中间⼈攻击者为B，Server为S，攻击者利⽤ARP机制，让主机

学习到IP-S和MAC-B的映射关系，让Server学习到IP-A和MAC-B的映射关系，如此，主机

和Server之间交换的报⽂都会经过攻击者中转，攻击者可轻易篡改DHCP报⽂。

4.3.2 漏洞：从本质上讲，中间⼈攻击是⼀种Spoofing IP/MAC攻击，中间⼈利⽤虚假的IP

和MAC映射关系同时欺骗主机Client和Server。

4.4 DHCP Snooping技术

4.4.1 针对DHCP饿死攻击，DHCP Snooping⽀持在端⼝下对DHCP Request报⽂的源MAC和

CHADDR（Client Hardware Address，DHCP消息中的⼀部分，由DHCP Client填写，实质

为Client的MAC。）进⾏⼀致性检查，同则转发，异则丢弃。

4.4.2 针对仿冒DHCP Server攻击，DHCP Snooping⽀持将交换机与DHCP Server相连的端⼝

设置为信任端⼝，将其他端⼝设置为⾮信任端⼝，丢弃从⾮信任端⼝收到的DHCP响应报⽂。

4.4.3 针对DHCP中间⼈攻击，DHCP Snooping使交换机能够侦听往来于DHCP Client和

DHCP Server之间的DHCP消息，收集真实的IP（Sever分配给Client的IP）与MAC（DHCP

消息中CHADDR字段值）绑定关系并记录到DHCP Snooping中。