windows安全之DHCP与DNS部署

DHCP部署与安全

DHCP（Dynamic Host Configure Protocol ）

• 自动分配ip地址
  DHCP（ 动态主机配置协议 ）是一个局域网的网络协议。. 指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。

DHCP相关概念

• 地址池：地址池指的是DHCP服务器可以为客户端分配的所有IP地址的集合
• 作用域：作用域是 DHCP服务器 为客户端计算机分配IP地址的重要功能，主要用于设置分配的IP地址范围、需要排除的IP地址、IP地址租约期限等信息。

DHCP协议端口

• UDP67，68

DHCP优点

避免手工配置IP地址工作量大，地址重复性的问题

• 减少工作量
• 避免IP冲突
• 提高地址利用率

DHCP原理

• DHCP租约过程，分为四个步骤

1. 客户机发送DHCP Discovery广播包：客户机广播请求IP地址（包含客户机的MAC地址）
2. 服务器响应DHCP Offer广播包：服务器响应提供的IP地址（但子网掩码，网关等参数无效）
3. 客户机发送DHCP Request广播包：客户机选择IP（确认使用哪个ip）
4. 服务器发送DHCP ACK广播包：服务器确认了租约，并提供网卡详细参数IP、子网掩码，网关，DNS，租期等

DHCP续约

• 50%过后，客户机会再次发送DHCP Request包，进行续约，如果服务器无响应，则继续使用并在87.5%，再次发送DCHP Request包，进行续约，如X仍然无响应，并释放IP地址，及重新发送DHCP Discovery 广播包来获取IP地址，当无任何服务器响应是，自动给自己分配一个169.254.x.x，全球同意无效地址，用于临时内网通信！

部署DHCP服务器

ipconfig /release  # 释放IP
取消租约，或者改为手动配置IP,也可以释放租约
ipconfig /renew    # 重新获取IP
有IP时发送Request续约，无IP时发送Discovery重新获取

地址保留

• 对指定的MAC地址，固定动态分配IP地址

选项优先级

• 作用域选项>服务器选项

当服务器上有多个作用域时，也可以在服务器选项上设置DNS服务器

DHCP备份

DHCP攻击与防御

1. 攻击DHCP服务器：频繁的发送伪装DHCP请求，直到将DHCP地址池资源耗尽

• 防御：在交换机（管理型）端口上做动态MAC地址绑定

2. 伪装DHCP 服务器攻击：hack通过将自己部署的DHCP服务器，为客户机提供非法IP

• 防御：在交换机上（管理型），除合法的DHCP服务器所在的接口外，全部设置为禁止发送DHCP Offer包

DNS部署与安全

DNS（Domain Name Service）

• 域名服务：为客户机提供域名解析服务

域名组成

• www.xxx.com是一个域名，但从严格意义上说“xxx.com”才被称为域名（全球唯一），而“www”是主机名
• “主机名.域名”称为完全限定域名（FQDN），一个域名下可以有多个主机，域名全球唯一，那么“主机名 .域名”肯定也全球唯一。

FQDN=主机名.DNS后缀
FQDN（完整合格的域名）

监听端口

• TCP53
• UDP53

DNS解析种类

按照查询种类

1. 递归查询：客户机与本地DNS服务器之间
2. 迭代查询：本地DNS服务器与根等其他DNS服务器的解析过程

安装查询内容分：

1. 正向解析：已知域名，解析IP地址
2. 反向解析：已知IP地址，解析域名

DNS服务器搭建过程

ipconfig /flushdns     #清空本地缓存DNS
ipcpnfig /displaydns   #查看本地缓存DNS

DNS请求顺序

客户机处理dns请求顺序：DNS缓存—本地hosts文件—找本地DNS服务器

服务器处理DNS请求顺序：DNS高速缓存—本地区域解析文件—转发器—跟

• A记录：正向解析记录
• CNAME：别名
• PTR记录：反向解析记录
• MX：邮件交换记录
• PTR记录：反向解析记录
• MX：邮件交换记录
• NS：域名服务器解析

DNS服务器分类

• 主要名称服务器
• 辅助名称服务器
• 跟名称服务器
• 告诉缓存名称服务器