DHCP部署與安全
DHCP的作用
Dynamic Host Configure Protocol 自動分配IP地址
DHCP相關概念
地址池/作用域:(地址池裏包含:IP,子網掩碼,網關,DNS,租期),將所有地址放到地址池裏。有請求獲取地址時,從地址池中拿一個IP地址出來,給請求的主機。做DHCP服務器的過程就是,建立這個地址池的過程。
DHCP優點
減少工作量,避免IP衝突,提高地址利用率。
DHCP原理
也稱爲DHCP租約過程,分爲四個步驟:
(1)客戶機發送一個DHCP Discovery廣播包
客戶機廣播請求IP地址(包含客戶機的MAC地址)
(2)服務器響應DHCP Offer廣播包
服務器響應提供的IP地址(但是無子網掩碼,網關等參數)
(3)客戶機發送DHCP Request廣播包
客戶機選擇IP地址(也可以認爲確認使用哪個IP,因爲可能有多臺DHCP 服務器同時響應,根據規則,選擇最先響應的DHCP服務器),發送廣播包其實也就變相的告訴其他DHCP服務器,本機已經做出了選擇。根據服務器的不同,某些服務器被拒絕後可能也會再發一條拒絕信息給客戶端,有些不會發送。
(4)服務器發送DHCP ACK廣播包
服務器確定了租約,並提供網卡詳細參數IP,掩碼,網關,DNS,租期等。
DHCP續約
當時間超過50%後,客戶機會在此發送DHCP Request包,續約是從當前續約時間開始,重新續約一個完整的週期。如果續約時服務器無響應,則繼續使用,並在87.5%在次發送DHCP Request包,進行續約,如仍然無響應,則釋放IP地址,及重新發送DHCP Discovery廣播包來獲取IP地址。當無法接收到任何DHCP響應時,網卡會自動給自己生成一個IP地址169.254.x.x/16,該地址是無效的上網地址,僅供本地局域網使用。
部署DHCP服務器
(1)Win2003 或 Win2008自帶的管理工具在 開始菜單->管理工具下,但是目前預裝的Win2003並沒有DHCP服務器。因此需要安裝。
(2)打開虛擬機光驅。
(3)然後在我的電腦,C盤中找到光驅,雙擊打開。選擇安裝可選的windows組件。
(4)找到網絡服務
雙擊打開
點擊確定
可能會報錯
出現原因就是沒有給本機配置靜態IP地址,因爲本機要當作服務器來使用。需要配置靜態IP來解決。
(5)之後就可以順利安裝。
安裝完成後使用netstat查看,可以看到DHCP協議佔用了兩個端口號,UDP 67和68
(6)創建地址池(作用域)
新建一個作用域
創建IP範圍和子網掩碼
排除的IP地址,可以是單個添加,也可以是範圍添加。
配置租約期
配置網關
配置DNS服務器地址
跳過WINS服務器,該服務器是老版本的服務器了,已經不再適用。
之後激活便可。
(7) 配置好之後可以看到
(8)客戶機驗證
這裏將客戶機和DHCP服務器都連接到了同一個網關上。但是實驗可能會失敗,失敗的原因在於,VMware自帶了一個虛擬的DHCP服務器。當客戶機連接時,可能會連接到虛擬的DHCP服務器上。因此需要停用VMware的虛擬DHCP服務器
點擊VMware菜單欄的編輯選項,然後點擊虛擬網絡編輯器。將VMnet1網關的虛擬DHCP給停用掉。
然後在客戶機的網絡鄰居->查看網絡連接->中的本地連接禁用,然後再啓用。即可得到正確的實驗結果。
服務機中可以看到形成了一條地址租約
與DHCP相關的命令
Ipconfig /release 釋放DHCP分配的地址
Ipconfig /renew 獲取一個IP地址
再次執行ipconfig /renew 相當於續約。通過使用ipconfig /all可以查看是否續約。
/renew 在有IP時,發送request續約,無IP時發送Discovery重新獲取IP
DHCP保留
使用DHCP服務,但是每次分配給要保留的主機同一個IP地址,每次自動獲取都獲取到那個IP地址。
建立保留,這裏一定要將客戶機的MAC地址填上作爲唯一標識,否則無法保留。這樣每次DHCP都會獲取到10.1.1.168地址。(我這裏沒有填,沒有做保留)
DHCP備份
點擊配置的DHCP服務器,右擊選擇備份。
直接找到一個文件夾進行備份即可。
然後右鍵服務器選擇還原,找到備份的目錄還原即可。
選項優先級
(1)假設有三個網段10網段,20網段,30網段,在一臺服務器上做三個作用域。
(2)新建一個作用域
IT部的網段
排除和租約都不動
不設置選項
激活作用域
(3) 新建下一個網段
然後接下來的步驟和上面一樣。
(4) 然後再服務器選項上進行配置
然後點擊確定。然後會發現每一個作用域選項中會出現配置的DNS
但是如果某一個作用域不想用全局的服務器選項,可以單獨在作用域選項上右擊,選擇配置選項
更改單獨一個服務器的作用域選項。因此可以總結,作用域選項的優先級要高於服務器選項。
DHCP攻擊和防禦
(1)攻擊DHCP服務器:頻繁的發送僞裝DHCP請求,直到將DHCP地址池資源耗盡。
防禦辦法:在交換機(管理型)的端口上做動態MAC地址綁定。
(2)僞裝DHCP服務器攻擊:Hacker通過將自己部署爲DHCP服務器,爲客戶機提供非法ip地址
防禦辦法:在交換機上(管理型),除合法的DHCP服務器所在接口外,全部設置爲禁止發送DHCP offer包。
DNS部署與安全
(1)DNS Domain Name Service 域名服務 爲客戶機提供域名解析服務
(2)域名組成概述
如www.sina.com.cn是一個域名,嚴格意義上講,“sina.com.cn”才被稱爲域名(全球唯一),而”www”是主機名。
“主機名.域名”稱爲完全限定域名(FQDN),一個域名下可以有多個主機。域名全球唯一,那麼“主機名.域名”肯定也是全球唯一的。
以“sina.com.cn”域名爲例,一般管理員在命名其主機的時候會根據其主機功能而命名,比如網站是www,博客是blog,論壇是bbs,那麼對應的FQDN爲www.sina.com.cn,blog.sina.com.cn,bbs.sina,com.cn。那麼多個FQDN,然而我們只需要申請一個域名“sina.com.cn”即可。
(3)域名舉例
www.baidu.com.
最後面的那個.是存在的,只不過我們在訪問時都省略了。 這個.代表根域。
.com:頂級域
baidu:一級域名
www:主機名
(4)FQDN
FQDN=主機名.DNS後綴
FQDN(完整合格的域名)
(5)監聽端口
TCP53和UDP53
DNS解析種類
(1)按照查詢方式分類
①遞歸查詢:客戶機與本地DNS服務器之間
②迭代查詢:本地DNS服務器與根等其他DNS服務器的解析過程
(2)按照查詢內容
①正向解析:已知域名,解析IP
②反向解析:已知IP解析域名
DNS服務器配置
(1)第一步插上光驅,安裝windows組件。和上文DHCP一樣。
(2)找到網絡服務。雙擊打開找到DNS
(3) 可能會報錯,因爲之前光驅在D盤,之後修改了硬盤分區爲D,光驅就跑到了E盤,因此需要修改盤符。
然後安全完成之後,點擊開始->管理工具就可以找到DNS服務器
(4)正向解析服務器
右鍵,新建區域。
下一步。
(5) 新建一個正向解析記錄(A記錄)
(6) 從xp端解析
報錯了。是因爲將域名送給了114.114.114.114去解析了。應該將這個域名送給10.1.1.1去解析。
在winxp手動配置一下DNS服務器。
然後再進行查看
建一個百度網盤的地址
(7) 在客戶機刷新緩存
ipconfig /flushdns
(8) 在客戶機查看所有緩存
ipconfig /displaydns
反向解析的一個小案例
(1) 解釋
圖中標紅的這句話是因爲在客戶機訪問DNS服務器,10.1.1.1時要請求從10.1.1.1解析出DNS服務器的名字。但是服務器並沒有相應回覆客戶機這個名字,因此會出現上述錯誤。這就是一個反向解析的案例。從ip地址解析出服務器名。
(2) 如何解決?
① 首先在區域裏給自己加個名字。
② 然後在反向域裏創建一個區域,
然後一直下一步到完成。
③ 新建一個指針
然後一直雙擊名字,找到dns1
確定。
④ 去客戶機測試
遞歸轉發
(1) 客戶機將DNS請求發給win2003-1之後,win2003-1再轉發給win2003-2
(2) 將win2003-2也連接到同一個網段
配置IP地址
(3) 安裝DNS
(4) 創建一個名爲qq.com的主要區域
(5) 添加一個主機IP地址爲5.5.5.5
(6) 這時客戶機是無法解析出www.qq.com的
(7) 在win2003-1中設置轉發器
(8) 在客戶機中查看
就完成了,客戶機訪問win2003-1然後win2003-1轉發給win2003-2完成DNS解析
局域網結構圖
DNS服務器分類
主要名稱服務器
輔助名稱服務器
根名稱服務器
高速緩存名稱服務器