DHCP

咖喱o2026-05-05 12:02

DHCP

DHCP:动态主机配置协议,基于 UDP 的 67 68 端口进行工作

DHCP 报文:

discover:用来发现和寻找 DHCP 服务器(广播)

offer:用于承载服务器为客户提供的 IP 地址(单播)

request:用于请求和续租 IP 地址(广播、单播)

  1. 当客户端正常请求 IP 地址的时候是广播 request
  2. 50% 发送单播的 request 报文,请求对 IP 地址续租
  3. 87.5% 发送广播的 request 报文,请求重新绑定 IP 地址

ACK:服务器用于确认客户端的请求报文(单播)

NAK:服务器用于拒绝客户端的请求报文(单播)

DHCP 配置实现

DHCP 地址分配顺序:

  1. 静态固定分配的
  2. PC 使用 Option 55 指定请求某个 IP 地址
  3. 曾经分配给该客户的IP地址
  4. 选择 idle 状态的地址,即空闲地址,按从大到小的顺序分配
  5. 选择已经回收的地址,和处于冲突状态的地址

DHCP 中继(DHCP Relay)

使用 DHCP 可以跨越二层广播域传递,这样 DHCP server 就可以收到地址分配请求信息

配置:Huawei-Vlanif10 dhcp select relay //开启 DHCP 中继功能

Huawei-Vlanif10 dhcp relay server-ip + 指定DHCP服务器的IP地址 //指定 DHCP 服务器的IP地址

DHCP 中继会将 DHCP Request 广播请求以单播的方式转发给 DHCP Server

在 DHCP Server 上添加下一跳的静态地址

当出现多个 DHCP Server 时,可以在 DHCP 中继上配置多个下一跳,配置完成后需要在全局模式下开启负载功能:ip relay address cycle ,每发送一条就会切换下一跳

配置实现

图片中的 DHCP 中继使用的地址组,可以添加多个 DHCP-Server,配置完成之后,只需要在接口下启用这个组就可以

DHCP 中出现的攻击

1、DHCP 饿死攻击

攻击者模仿 DHCP 请求者频繁发送 DHCP 请求,以此来将 DHCP Server 中的 IP 地址消耗殆尽,导致 DHCP Server 无妨正常分配地址

2、模仿 DHCP Server 攻击

攻击者模仿 DHCP Server 向请求者发送错误的 IP 地址和 网关,导致客户端无法正常上网

3、中间者攻击

类似于 ARP 欺骗,DHCP 请求者请求 DHCP Server 的途中,中间者会将请求者和回复者的 MAC 地址转换为自己的 MAC

DHCP Snooping(DHCP 防护)

在交换机上配置,分为全局下开启和接口下开启

如何防止饿死攻击:

开启了 DHCP Snooping 的交换机,收到 DHCP Requeest 之后,将会对比这个 DHCP 报文中的 CHADDR 和数据链路层中的源 MAC 地址是否相同,如果不同,则判定为非法报文,交换机直接丢弃

配置

Huawei dhcp enable //开启 DHCP 功能

Huawei dhcp snooping enable //只支持了dhcp snooping 功能,但没有启用

Huawei-g0/0/1 dhcp snooping check dhcp-chaddr enable //该接口下开启二层源 MAC 和 CHADDR 一致性检查

Huawei-g0/0/1 dhcp snooping max-user-number 5 //修改此接口下的最大绑定数目 5

Huawei-g0/0/1 dhcp snooping sticky-mac //根据 DHCP Snooping 表项形成静态 MAC 地址表,同时关闭接口的 MAC 地址学习功能,同时将收到的报文丢弃
Huawei-g0/0/1 mac-address learning disable action discard/forward //关闭此接口的MAC 地址学习,如果不学习,将此接口的信息丢弃/转发

如何防止模仿 DHCP Server 攻击:

当在交换机上开启了 DHCP Snooping 功能之后,交换机的接口分为两类:信任接口和非信任接口

非信任接口:收到 DHCP Request 消息,只会转发给信任接口,如果没有信任接口,报文将会被丢弃

收到 DHCP Relay 消息,将会直接丢弃

信任接口:收到 DHCP Request 消息,只会转发给除了本接口以外的所有信任接口,如果没有其他信任接口,报文将会被丢弃

收到 DHCP Relay 消息,将会转发给相应的客户端

默认只要开启了 DHCP Snooping 功能的接口都是非信任接口

接口下:dhcp snooping trusted //配置接口为信任接口

如何防止 DHCP 中间者攻击:

开启 DHCP Snooping 的交换机,收到 ARP 报文之后,将会读取 ARP 报文中的源 MAC 地址和源 IP 地址,和 Snooping 绑定表做匹配检查

如果匹配检查不一致,那么将会判断此 ARP 报文不是合法报文,将丢弃此 ARP 报文

系统视图下执行配置命令:arp dhcp-snooping-detect enable //开启 ARP 报文和 Snooping 绑定表匹配检查功能

IPSG(静态源表项保护):

作用:主要用于防止源 IP 地址欺骗攻击

实现原理:通过在交换机上配置绑定表(IP MAC VLAN IP 端口)来针对收到的 IP 报文进行匹配检查(基于 IP 封装的数据报文),如果报文不符合绑定表,则报文被丢弃

两种绑定表项:

  1. 静态绑定表:需要人为手动配置的绑定表项
  2. 冬天绑定表:基于 DHCP Snooping 功能产生的 snooping 表项来进行实现保护

配置:

Huawei user-bind static ip-address 192.168.1.1 mac-address + IP对应的MAC +interface +IP对应的接口 + IP对应的vlan //创建静态表项

端口或者 VLAN 下:ip source check user-bind enable //开启 DHCP Snooping 与 IPSG 的联动功能,即基于 Snooping 实现的 IPSG 功能

相关推荐
JAVA面经实录9171 小时前
操作系统面试题
java·服务器·数据库·计算机网络·面试
小刘|2 小时前
Spring AI Alibaba 集成和风天气 API 实战
java·服务器·前端
森G2 小时前
61、信号与槽机制在 TCP 编程中的应用---------网络编程
网络·c++·qt·网络协议·tcp/ip
暮云星影3 小时前
全志linux开发屏幕适配(一)屏幕参数设置说明
linux·arm开发
Maynor9963 小时前
我用 Codex 给自己的网站上线了一个智能体客服:从 Dify 到服务器部署,全程实战复盘
运维·服务器
聚名网3 小时前
域名net,com,cn有区别吗?有哪些不同呢?
服务器·开发语言·php
java_cj3 小时前
深入kubectl create源码:从YAML到Pod的完整链路拆解
运维·云原生·容器·kubernetes
小小小花儿4 小时前
SSH密钥配置(免密连接远程服务器)
服务器·ssh
swordbob4 小时前
NIO 的 Channel 里有多个 BIO 吗?
linux·网络·nio
天天讯通4 小时前
OKCC 呼叫中心安全性能全解析:技术防护与管理措施指南
大数据·开发语言·网络·人工智能·安全·语音识别
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04HTTP 与 HTTPS 的区别:从原理到实战详解05【AI】2026 年具身智能模型和世界模型总结06GitHub 镜像站点07上线仅72小时被强制下架:Claude Fable 5 的短命08AI科技热点日报 | 2026年6月1日09Codex 下载安装指南:Windows 和 macOS 官方版下载10Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析