DHCP部署与安全
DHCP的作用
Dynamic Host Configure Protocol 自动分配IP地址
DHCP相关概念
地址池/作用域:(地址池里包含:IP,子网掩码,网关,DNS,租期),将所有地址放到地址池里。有请求获取地址时,从地址池中拿一个IP地址出来,给请求的主机。做DHCP服务器的过程就是,建立这个地址池的过程。
DHCP优点
减少工作量,避免IP冲突,提高地址利用率。
DHCP原理
也称为DHCP租约过程,分为四个步骤:
(1)客户机发送一个DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
(2)服务器响应DHCP Offer广播包
服务器响应提供的IP地址(但是无子网掩码,网关等参数)
(3)客户机发送DHCP Request广播包
客户机选择IP地址(也可以认为确认使用哪个IP,因为可能有多台DHCP 服务器同时响应,根据规则,选择最先响应的DHCP服务器),发送广播包其实也就变相的告诉其他DHCP服务器,本机已经做出了选择。根据服务器的不同,某些服务器被拒绝后可能也会再发一条拒绝信息给客户端,有些不会发送。
(4)服务器发送DHCP ACK广播包
服务器确定了租约,并提供网卡详细参数IP,掩码,网关,DNS,租期等。
DHCP续约
当时间超过50%后,客户机会在此发送DHCP Request包,续约是从当前续约时间开始,重新续约一个完整的周期。如果续约时服务器无响应,则继续使用,并在87.5%在次发送DHCP Request包,进行续约,如仍然无响应,则释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址。当无法接收到任何DHCP响应时,网卡会自动给自己生成一个IP地址169.254.x.x/16,该地址是无效的上网地址,仅供本地局域网使用。
部署DHCP服务器
(1)Win2003 或 Win2008自带的管理工具在 开始菜单->管理工具下,但是目前预装的Win2003并没有DHCP服务器。因此需要安装。
(2)打开虚拟机光驱。
(3)然后在我的电脑,C盘中找到光驱,双击打开。选择安装可选的windows组件。
(4)找到网络服务
双击打开
点击确定
可能会报错
出现原因就是没有给本机配置静态IP地址,因为本机要当作服务器来使用。需要配置静态IP来解决。
(5)之后就可以顺利安装。
安装完成后使用netstat查看,可以看到DHCP协议占用了两个端口号,UDP 67和68
(6)创建地址池(作用域)
新建一个作用域
创建IP范围和子网掩码
排除的IP地址,可以是单个添加,也可以是范围添加。
配置租约期
配置网关
配置DNS服务器地址
跳过WINS服务器,该服务器是老版本的服务器了,已经不再适用。
之后激活便可。
(7) 配置好之后可以看到
(8)客户机验证
这里将客户机和DHCP服务器都连接到了同一个网关上。但是实验可能会失败,失败的原因在于,VMware自带了一个虚拟的DHCP服务器。当客户机连接时,可能会连接到虚拟的DHCP服务器上。因此需要停用VMware的虚拟DHCP服务器
点击VMware菜单栏的编辑选项,然后点击虚拟网络编辑器。将VMnet1网关的虚拟DHCP给停用掉。
然后在客户机的网络邻居->查看网络连接->中的本地连接禁用,然后再启用。即可得到正确的实验结果。
服务机中可以看到形成了一条地址租约
与DHCP相关的命令
Ipconfig /release 释放DHCP分配的地址
Ipconfig /renew 获取一个IP地址
再次执行ipconfig /renew 相当于续约。通过使用ipconfig /all可以查看是否续约。
/renew 在有IP时,发送request续约,无IP时发送Discovery重新获取IP
DHCP保留
使用DHCP服务,但是每次分配给要保留的主机同一个IP地址,每次自动获取都获取到那个IP地址。
建立保留,这里一定要将客户机的MAC地址填上作为唯一标识,否则无法保留。这样每次DHCP都会获取到10.1.1.168地址。(我这里没有填,没有做保留)
DHCP备份
点击配置的DHCP服务器,右击选择备份。
直接找到一个文件夹进行备份即可。
然后右键服务器选择还原,找到备份的目录还原即可。
选项优先级
(1)假设有三个网段10网段,20网段,30网段,在一台服务器上做三个作用域。
(2)新建一个作用域
IT部的网段
排除和租约都不动
不设置选项
激活作用域
(3) 新建下一个网段
然后接下来的步骤和上面一样。
(4) 然后再服务器选项上进行配置
然后点击确定。然后会发现每一个作用域选项中会出现配置的DNS
但是如果某一个作用域不想用全局的服务器选项,可以单独在作用域选项上右击,选择配置选项
更改单独一个服务器的作用域选项。因此可以总结,作用域选项的优先级要高于服务器选项。
DHCP攻击和防御
(1)攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽。
防御办法:在交换机(管理型)的端口上做动态MAC地址绑定。
(2)伪装DHCP服务器攻击:Hacker通过将自己部署为DHCP服务器,为客户机提供非法ip地址
防御办法:在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP offer包。
DNS部署与安全
(1)DNS Domain Name Service 域名服务 为客户机提供域名解析服务
(2)域名组成概述
如www.sina.com.cn是一个域名,严格意义上讲,“sina.com.cn”才被称为域名(全球唯一),而”www”是主机名。
“主机名.域名”称为完全限定域名(FQDN),一个域名下可以有多个主机。域名全球唯一,那么“主机名.域名”肯定也是全球唯一的。
以“sina.com.cn”域名为例,一般管理员在命名其主机的时候会根据其主机功能而命名,比如网站是www,博客是blog,论坛是bbs,那么对应的FQDN为www.sina.com.cn,blog.sina.com.cn,bbs.sina,com.cn。那么多个FQDN,然而我们只需要申请一个域名“sina.com.cn”即可。
(3)域名举例
www.baidu.com.
最后面的那个.是存在的,只不过我们在访问时都省略了。 这个.代表根域。
.com:顶级域
baidu:一级域名
www:主机名
(4)FQDN
FQDN=主机名.DNS后缀
FQDN(完整合格的域名)
(5)监听端口
TCP53和UDP53
DNS解析种类
(1)按照查询方式分类
①递归查询:客户机与本地DNS服务器之间
②迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程
(2)按照查询内容
①正向解析:已知域名,解析IP
②反向解析:已知IP解析域名
DNS服务器配置
(1)第一步插上光驱,安装windows组件。和上文DHCP一样。
(2)找到网络服务。双击打开找到DNS
(3) 可能会报错,因为之前光驱在D盘,之后修改了硬盘分区为D,光驱就跑到了E盘,因此需要修改盘符。
然后安全完成之后,点击开始->管理工具就可以找到DNS服务器
(4)正向解析服务器
右键,新建区域。
下一步。
(5) 新建一个正向解析记录(A记录)
(6) 从xp端解析
报错了。是因为将域名送给了114.114.114.114去解析了。应该将这个域名送给10.1.1.1去解析。
在winxp手动配置一下DNS服务器。
然后再进行查看
建一个百度网盘的地址
(7) 在客户机刷新缓存
ipconfig /flushdns
(8) 在客户机查看所有缓存
ipconfig /displaydns
反向解析的一个小案例
(1) 解释
图中标红的这句话是因为在客户机访问DNS服务器,10.1.1.1时要请求从10.1.1.1解析出DNS服务器的名字。但是服务器并没有相应回复客户机这个名字,因此会出现上述错误。这就是一个反向解析的案例。从ip地址解析出服务器名。
(2) 如何解决?
① 首先在区域里给自己加个名字。
② 然后在反向域里创建一个区域,
然后一直下一步到完成。
③ 新建一个指针
然后一直双击名字,找到dns1
确定。
④ 去客户机测试
递归转发
(1) 客户机将DNS请求发给win2003-1之后,win2003-1再转发给win2003-2
(2) 将win2003-2也连接到同一个网段
配置IP地址
(3) 安装DNS
(4) 创建一个名为qq.com的主要区域
(5) 添加一个主机IP地址为5.5.5.5
(6) 这时客户机是无法解析出www.qq.com的
(7) 在win2003-1中设置转发器
(8) 在客户机中查看
就完成了,客户机访问win2003-1然后win2003-1转发给win2003-2完成DNS解析
局域网结构图
DNS服务器分类
主要名称服务器
辅助名称服务器
根名称服务器
高速缓存名称服务器