DHCP

DHCP(Dynamic Host Configuration Protocol)全称动态主机配置协议。DHCP可以用于协助内部网或者网络服务供应商自动分配IP地址,或者给用户提供作为内部网管理员对所有计算机进行中央管理的手段。

一台主机想要通过TCP/IP协议上网之前,通常都需要配置IP地址,子网掩码,默认网关和域名服务器IP的信息,但是如果总是手动配置就很麻烦。DHCP协议就实现了以上信息的自动配置。

DHCP是基于UDP协议实现的,效率较高。

工作过程

DHCP过程

如图,一台刚加入网段的主机启动DHCP客户端后,先广播DHCP Discover报文。所有收到的DHCP服务器会根据自己的记录情况为新主机分配IP信息,并以DHCP Offer报文形式发回。但是客户端只承认它第一个收到的DHCP Offer报文。然后客户端再次广播,表示自己会接受哪个服务器的什么样的IP信息。对应的服务器收到后给予应答,客户端主机就可以使用这个IP信息了。同时其他的DHCP服务器收到后发现不是自己提供的,也会把已经分配出去的IP信息进行更新,避免以后重复分配。

DHCP分配的IP地址是有有效期的,也称作租期。租期到了之后服务器会主动询问客户端要不要续租,如果没有收到回应,或者收到Release的回应,服务器就认为这个IP空闲了,可以再分给别人。

以上是DHCP的动态分配方式,是最为强大的方式。另外还有手动分配方式和自动分配方式。

  • 手动分配方式:在DHCP中手动设置DHCP客户机的IP,当客户机求情网络服务时,DHCP服务器把手动配置的IP地址直接分配给客户机。
  • 自动分配:不需要手工配置,DHCP客户机第一次想DHCP服务器租用IP后,DHCP服务器就永久分配给它一个IP,不会再分配给其他的机器。
  • 动态分配:上面展示的有租期的分配。

DHCP欺骗和防范

欺骗的原理:在DHCP客户端广播找DHCP服务器的时候,非授权的DHCP服务器可以先应答,就能让新人使用自己提供的IP信息,就有了可乘之机。进一步,这个非授权的服务器还可以指定默认网关,从而达到恶意侦听报文的目的。

防范措施:在交换机上启用DHCP Snooping功能,只要认证的DHCP Server发送的DHCP报文才会被交换机转发,可以有效预防非授权的DHCP的攻击行为。