DHCP部署与安全

  • (Dynamic Host Configure Protocol)自动分配IP地址,减少工作量,避免IP冲突,提高地址利用率
  • 地址池/作用域: IP,子网掩码,网关,DNS,租期
  • DHCP协议端口是UDP 67-68

DHCP原理

  1. 客户机发送DHCP Discovery广播包
  • 客户机广播请求IP地址(包含客户机的MAC地址)
  1. 服务器响应DHCP Offer广播包
  • 服务器响应提供的IP地址(但无子网掩码,网关等参数)
  1. 客户机发送DHCP Request广播包
  • 客户机选择IP(也可认为确认使用哪个IP)
  1. 服务器发送DHCP ACK广播包
  • 服务器确定了租约,并提供网卡详细参数IP,掩码,网关,DNS,租期等

DHCP续约

当50%过后,客户机会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用并在87.5%再次DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址,当无任何服务器响应时,自动给自己分配一个169.254.x.x/16,属于全球统一无效地址,用于临时内网通信

部署DHCP服务器

  1. IP地址固定(服务器必须固定IP地址)

QQ截图20201111193448.png

QQ截图20201111193557.png

  1. 安装DHCP服务插件

windows server 2003 需要放入安装光盘进行安装

QQ截图20201111192931.png

  1. 新建作用域及作用域选项

QQ截图20201111193829.png

QQ截图20201111193844.png

QQ截图20201111193915.png

QQ截图20201111193941.png

QQ截图20201111194055.png

QQ截图20201111194115.png

QQ截图20201111194205.png

  1. 激活

QQ截图20201111194222.png

  1. 客户机验证

QQ截图20201111194348.png

:: 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /release
:: 重新获取IP(有IP时,发送request续约,无IP时发送Discovery重新获取IP)
ipconfig /renew

地址保留

这对指定的MAC地址,固定动态分配IP地址

QQ截图20201111194452.png

QQ截图20201111194718.png

QQ截图20201111194757.png

选项优先级

当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器,如果作用域选项中配置了DNS服务器,则以作用域选项配置的结果优先

QQ截图20201111195017.png

DHCP备份

备份服务器的所有作用域,当服务器宕机后,可以使用备份文件在其他DHCP服务器上进行还原所有配置

QQ截图20201111195108.png

  • 还原同理,选择备份文件点确定后会重启服务器,重启完成后刷新完成恢复

QQ截图20201111195207.png

DHCP攻击与防御

  1. 攻击DHCP服务器: 频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
  • 防御: 在交换机(管理型)的端口上做动态MAC地址绑定
  1. 伪装DHCP服务器攻击: hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址
  • 防御: 在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送dhcp offer包

DNS部署与安全

(Domain Name Service)域名服务,为客户机提供域名解析服务器,监听端口TCP/UDP 53

域名组成

  • www.1997sty.com是一个域名,从严格意义上讲,1997sty.com才被称为域名(全球唯一),而www是主机名.
  • 主机名.域名称为完全限定域名(FQDN).一个域名下可以有多个主机,域名全球唯一,那么主机名.域名肯定也是全球唯一的.
  • 1997sty.com域名为例,一般管理员在命名其主机的时候会根据其主机的功能而命名,比如网站的是www,博客的是blog,论坛的是bbs,那么对应的FQDN为www.1997sty.com,blog.1997sty.com,bbs.1997sty.com.这么多个FQDN,然而我们只需要申请一个域名即1997sty.com即可.

QQ截图20201111163052.png

DNS解析种类

  1. 递归查询: 客户机与本地DNS服务器之间
  2. 迭代查询: 本地DNS服务器与根等其他DNS服务器的解析过程
  3. 正向解析: 已知域名,解析IP地址
  4. 反向解析: 已知IP地址,解析域名

QQ截图20201111163302.png

DNS服务器搭建

  1. 要求网卡IP是静态IP地址

QQ截图20201111193448.png

QQ截图20201111193557.png

  1. 安装DNS服务器插件(也就是安装并开启TCP及UDP53端口)

windows server 2003 需要放入安装光盘进行安装

QQ截图20201111193019.png

  1. 创建区域文件(负责一个域名后缀的解析,如baidu.com为域名后缀,一台DNS服务器内可存放多个区域文件)

QQ截图20201111195512.png

QQ截图20201111195523.png

QQ截图20201111195546.png

QQ截图20201111195550.png

QQ截图20201111195556.png

QQ截图20201111195901.png

  1. 新建A记录

QQ截图20201111195643.png

QQ截图20201111195659.png

QQ截图20201111195914.png

QQ截图20201111200023.png

DNS配置反向解析

配置正向解析www.1997sty.com步骤同上

QQ截图20201111202115.png

反向解析的前提是先配置对应的正向解析,然后在反向解析新建指针关联正向解析的域

QQ截图20201111201312.png

QQ截图20201111201330.png

QQ截图20201111201335.png

QQ截图20201111201340.png

QQ截图20201111201927.png

QQ截图20201111201810.png

QQ截图20201111202003.png

DNS客户机解析

nslookup手工解析时,会进行一个反向解析

nslookup 域名

客户机域名请求解析顺序

  1. DNS缓存
  2. 本地hosts文件
  3. 找本地DNS服务器

DNS服务器处理域名请求的顺序

  1. DNS高速缓存(必须学会如何查看及清空)
  2. DNS区域配置文件
  3. DNS转发器
  4. 根提示

辅助DNS服务器

首先需要主服务器允许复制

QQ截图20201111200450.png

配置辅助服务器

QQ截图20201111200202.png

QQ截图20201111200215.png

QQ截图20201111200301.png

QQ截图20201111200317.png

QQ截图20201111200629.png

DNS转发器

QQ截图20201111200907.png

QQ截图20201111200629.png

172.16.0.2设置转发器到172.16.0.3,在172.16.0.3配置www.qq.com的a记录,使用客户机进行解析

QQ截图20201111200952.png

清除DNS缓存

客户机上使用命令清除缓存

ipconfig /flushdns

DNS服务器上清除缓存

  • windows服务器: dns工具--查看--高级,调出缓存来,然后右键清除缓存

QQ截图20201111201132.png

QQ截图20201111201215.png

DNS服务器分类

  • 主要名称服务器
  • 辅助名称服务器
  • 根名称服务器
  • 高速缓存名称服务器

域名解析记录类型

  • A记录 : 正向解析记录
  • CNAME记录 : 别名
  • PTR记录 : 反向解析记录
  • MX : 邮件交换记录