DHCP协议浅析

　　我们发现在日常组网工作中，如果客户端数量过多，手动分配IP地址会加大网管员的工作量。所以我们会在网络里部署一台DHCP服务器，由DHCP完成自动分配IP的工作。DHCP除了可以分配给客户端IP之外还有网关，DNS等信息。

　　DHCP分配给客户端地址的过程我们通常用4个字母来表示，即DORA。DORA分别代表了DHCP的四个报文。Discovery报文、offer报文、request报文、ACK报文。所以我们把工作过程也分为4步

　　1，在客户端启动的时候，首先会discovery报文(在这报文里面了客户端的MAC地址)。Discovery报文可以理解为：客户端去发现DHCPserver。由于是，可以DHCPserver收到这个报文。

　　2，DHCPserver收到这个报文后他就知道某个客户端要请求一个IP地址,DHCPserver就参照Discover报文里面的MAC地址,然后从他配置的DHCP地址池里面分配一个IP地址。然后把这个地址用offer消息告诉客户端。这个报文里面会把discovery里面客户端的MAC包含进去。客户机收到后比较下MAC，发现报文里面的MAC和自己的MAC一样就会认为这个报文是发给他的。

　　3，由于DHCPserver可能有多个，所以客户端发一个Discovery就很有可能收到多个offer。这时候客户端必须表示我用哪个offer的地址。所以客户端再次发一个request报文，表明我要用这个discovery的报文。

　　4，最后DHCPserver回一个ACK。做一个确定。

　　整个过程结束。通过这种方式，我们可以为每一个客户端配置一个IP地址。无须人工配置。

　　如图所示：

　　如何在园区网内部署DHCP

　　我们在一些大规模的园区网内如何去部署DHCP服务器呢？仅仅一台DHCP是否可以工作？

　　由于规模大、主机数目多，所以通常我们会在网络里划分多个VLAN来隔离域提高网络的性能。太大的域会造成泛洪。那我们注意到在DHCP的DORA的四个报文实际上是用来完成的。

　　如图所示：

　　DHCP

　　前面介绍了DHCP的基本原理和DHCP在园区网里的应用。DHCP给予了我们很多的便利之处，但与此同时DHCP还可能会带来一些。下面我们来分析下黑客是如何利用DHCP进行的。

　　简介

　　如图所示：

　　1)首先黑客会发大量的DHCP请求到server。这些大量的discovery报文每个报文都包含了不同的虚假MAC。Server收到这些报文后根据正常的DHCP工作机制就会向虚假的MAC分配IP，DHCP的池内的地址可能被瞬间耗光。

　　2)正常的客户端开始去请求IP，但是正常的DHCP服务器已经没有办法在给他分配IP了，因为地址池已经耗光了。

　　3)黑客站了出来，为这个客户端分配了一个IP，并且包含了虚假的网关地址和DNS。

　　这个客户端拿到了错误的网关，导致所有去往外网的报文都发给了这个虚假的网关。这个虚假网关就可以扑捉了所有去外网的报文。客户端在去作域名解析的时候也是用错误的DNS，可能某个银行网站的域名解析出来的就是事先布置好的钓鱼网站。后果不堪设想。

　　如何防止

　　大部分交换机都提供DHCPsnooping这个特性来防止DHCP

　　1)DHCPsnooping提供的第一个特性就是限速。可以把DHCP报文的速率在某个范围内。例如每秒不超过10个包。这样可以有效的避免DHCP地址池耗尽。

　　2)DHCPsnooping会把交换机的接口分为trust(信任)和untrust(非信任)。信任和非信任其实就是这个接口是否是网管员可以信任的连接DHCPserver。对于trust(信任)的不做任何检查。对于untrust(不信任)的，如果收到offerack这些正常是由server发的报文交换机就会丢弃掉这些报文。这样可以有效的防止虚假DHCP服务器。

　　局域网如何限速如图所示

　　3)除此之外还会对来自untrust接口收到DHCP其他报文会进行深度检测，例如discovery。如果从一个untrust接口收到一个DHCPdiscovery报文，交换机会检测discovery报文内的MAC地址和二层数据帧中的源MAC是否一致，如果不一致就会认为这个是(可能虚假出大量的MAC去发discovery).