文中大量参考TCP/IP协议详解。
我们应该有进一步的勇气,也要有退一步的从容。
1. DHCP作用
(Dynamic Host Configuration Protocol) 动态主机配置协议。DHCP服务器主要使用UDP67、68号端口进行通讯。其中UDP67号端口作用于客户端发起的请求,UDP68是服务器应答时使用。
2. DHCP原理
也成为DHCP租约过程,分为四个步骤:
- Clinet发送DHCP DISCOVER广播包;
- 所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文;DHCP Offer报文含有DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址也放在其中,用于区分不同DHCP Server;
- DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址;
- 部分未被选择的DHCP服务器会发送拒绝包(不再提供这个IP给clinet使用)。根据DHCP服务器的操作系统、软件版本不同做出的反应也不同;
- DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息;
- DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程;
- DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
3. DHCP续约
- 租期达到50%(T1)时,DHCP客户端会自动以单播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功(即租期从0开始计算);如果收到DHCP NAK报文,则重新发送DHCP DISCOVER报文请求新的IP地址。
- 当租期达到87.5%(T2)时,如果仍未收到DHCP服务器的应答,DHCP客户端会自动以广播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功(即租期从0开始计算);如果收到DHCP NAK报文,则重新发送DHCP DISCOVER报文请求新的IP地址。windows:若租期达到T2阶段时,客户端发送DHCP REQUEST报文未得到响应,会释放该网络地址,重新发送DHCP DISCOVER请求,若还未能得到回应,那么网卡会给自己分配一个地址。(全球统一无效地址:169.254.0.0/16)
- 如果租期时间到时都没有收到服务器的回应,客户端停止使用此IP地址,重新发送DHCP DISCOVER报文请求新的IP地址。
- 当租约未到期时,客户端重启重新发起DHCP DISCOVER请求,服务器会按正常通讯流程将未过期的IP及其相关信息重新下发。
4. 攻击思路
-
伪造MAC地址,持续发送Discovery包,获得IP地址后,进行确认。直到耗尽IP地址池。
-
伪造DHCP服务器,提供错误的信息给客户端的网卡。
5. 防御思路
-
硬件防护:在管理交换机的端口上做MAC地址动态绑定/静态绑定。防止不法客户端伪造MAC地址。
-
网络防护:在管理交换机上,除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP OFFER包。
6.部署DHCP服务,Linux版部署,windows的太简单不宜演示。
6.1 初始化DHCP Server环境
- 我使用的是克隆我的模板机器,我的模板机器目前已经将firewalld,SELinux已经禁用。
systemctl disable firewalld && sed -i #SELINUX=enforcing#SELINUX=disabled# /etc/selinux/config && setenforce 0
6.2 安装DHCP Server
- 这边常规yum安装即可。
yum install -y dhcp
- 设置开机启动。
systemctl enable dhcpd
6.3 修改配置文件
- 主配置文件在/etc/dhcp/dhcpd.conf
[root@localhost ~]# cat /etc/dhcp/dhcpd.conf
#
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.example 可以看到这里是有一个示例文件的
# see dhcpd.conf(5) man page
#
- 看看我们的示例配置文件。
# 以下配置为通用选项
option domain-name "ns.lqh.com"; #此项为DNS域名
option domain-name-servers 192.168.85.241, 192.168.84.241; #此项为DNS Server服务器选项
default-lease-time 600; #此项为租约时间
max-lease-time 7200; #此项为最大租约时间
# 是否启用动态DNS更新,通常被设置为interim(none:不支持动态更新/interim:互动更新模式/特殊更新模式)。
ddns-update-style none;
#是否为权威DHCP服务器
#authoritative;
#拷贝指向系统日志收集系统
log-facility local7;
# 定义子网 这里只能提供网卡所在网段的子网则否报错“提示没有配置任何监听端口”
subnet 192.168.85.0 netmask 255.255.255.0 {
range 192.168.85.20 192.168.85.250;
#option domain-name-servers ns1.internal.example.org;
#option domain-name "internal.example.org";
option routers 192.168.85.1;
option broadcast-address 192.168.85.255;
#default-lease-time 600;
#max-lease-time 7200;
}
#作用于某台主机
host lqh_desktop {
hardware ethernet 00:0c:29:e0:e8:a3;
fixed-address 192.168.85.3;
}
6.4 启动服务,并检查端口情况。
systemctl start dhcpd && netstat -anulp | grep "67|68"
7.抓包验证整个协议通讯过程。
-
字段太多不能一一细扣,容易把自己绕进去。
-
DHCP Release(客户端释放租约信息,其中重要信息:单播、客户端IP、mac地址、消息的类型、server的IP、server不做回应)。
release.png
- DHCP Discover (客户端广播请求server的回应,包含有自己的mac地址,消息类型、ip地址、和参数请求列表)。
discover.png
- DHCP offer(这里server发出的不仅包含分配给clinet的ip,还有子网掩码,dns等信息)。
offer.png
- DHCP request (确认选择,广播形式)
request.png
- DHCP ack(确认时会重新下发ip、子网掩码、网关、dns等信息)。
ack.png
网友评论