简介
为了使用 TCP/IP 协议族,每台主机or路由器都需要一定的配置信息:
- IP地址
- 子网掩码
- 广播地址
- 路由或转发表
- DNS
协议配置方法:
- 手动
- 通过使用网络服务来获得
- 使用一些算法来自动确定
服务器、路由器通常采取手工配置。而客户端主机也要手动配置的话就太麻烦了!
定义
动态主机配置协议[RFC2131] Dynamic Host Configuration Protocol
- Internet 客户端主机(有时也有路由器)中用于建立基本要素、指定配置信息的协议与程序。
- 流行的 client-server协议,应用层 协议
- 前身为 Internet 引导程序协议(Bootstrap Protocol,BOOTP)
- 分配方式:自动、动态、手动。
- 地址池和租用的概念
消息格式
| 字段 | 含义 |
|---|---|
| OP | 若是 client 送给 server 的封包,设为 1 ,反向为 2。 |
| HTYPE | 硬件类别,Ethernet 为 1。 |
| HLEN | 硬件地址长度, Ethernet 为 6。 |
| HOPS | 若封包需经过 router 传送,每站加 1 ,若在同一网内,为 0。 |
| TRANSACTION ID | DHCP REQUEST 时产生的数值,以作 DHCPREPLY 时的依据。 |
| SECONDS | Client 端启动时间(秒)。(时间戳) |
| FLAGS | 从 0 到 15 共 16 bits ,最左一 bit 为 1 时表示 server 将以广播方式传送封包给 client ,其余尚未使用。 |
| ciaddr | 要是 client 端想继续使用之前取得之 IP 地址,则列于这里。 |
| yiaddr | 从 server 送回 client 之 DHCP OFFER 与 DHCPACK封包中,此栏填写分配给 client 的 IP 地址。 |
| siaddr | 若 client 需要透过网络开机,从 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK封包中,此栏填写开机程序代码所在 server 之地址。 |
| giaddr | 若需跨网域进行 DHCP 发放,此栏为 relay agent 的地址,否则为 0。 |
| chaddr | Client 之硬件地址。 |
| sname | Server 之名称字符串,以 0x00 结尾。 |
| file | 若 client 需要透过网络开机,此栏将指出开机程序名称,稍后以 TFTP 传送。 |
| options | 允许厂商定议选项(Vendor-Specific Area),以提供更多的设定信息(如:Netmask、Gateway、DNS、等等)。 |
最后一项 options 长度可变,同时可携带多个选项,每一选项之第一个 byte 为信息代码,其后一个 byte 为该项数据长度,最后为项目内容。
项值类别:
1 DHCP DISCOVER
2 DHCP OFFER
3 DHCP REQUEST
4 DHCP DECLINE
5 DHCP ACK
6 DHCP NACK
7 DHCP RELEASE
DHCP 的选项非常多,这里不再叙述了。
协议操作和状态机
四步:
- Discover
- 由于 DHCP Server 对于 client 来说是未知的,因此发现的操作的报文是广播的。
- Offer
- 所有支持 TCP/IP 的主机都会接受到此报文,然而只有 DHCP Server 会回应。Offer也需要是广播,因为 client 此时可能还没有 IP 地址。
- Request
- Request也需要广播,通知其他 DHCP Server 自己做出的选择。
- ACK
- 仍需要广播,其他 DHCP Server 将收回之前提供的 IP 地址。
状态机:状态机由状态寄存器和组合逻辑电路构成,能够根据控制信号按照预先设定的状态进行状态转移,是协调相关信号动作,完成特定操作的控制中心。
DHCP relay
用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要。它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机。
- 当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文。
- 如果本地网络存在 dhcp server,则可以直接进行 dhcp 配置,不需要 dhcp relay。
- 如果本地网络没有 dhcp server,则与本地网络相连的具有 dhcprelay 功能的网络设备收到该广播报文后,将进行适当处理并转发给指定的其它网络上的 dhcp server。
- dhcp server 根据 dhcp client 提供的信息进行相应的配置,并通过 dhcp relay 将配置信息发送给 dhcp client,完成对dhcp client 的动态配置。
事实上,从开始到最终完成配置,需要多个这样的交互过程。
- dhcp relay 设备修改 dhcp 消息中的相应字段,把 dhcp 的广播包改成单播包,并负责在服务器与客户机之间转换。
- netcore路由器(2x05)可以作为dhcp relay 代理。
在 DHCP 客户端看来,DHCP 中继代理就像 DHCP 服务器;在 DHCP 服务器看来,DHCP 中继代理就像 DHCP 客户端。
DHCP 与 DNS 交互
DNS 是一台机器使用互联网服务的一个很重要的部分,如果没有 DNS 服务器或者其他方式将域名映射为 IP 地址,大部分用户几乎难以访问互联网系统。由于 DNS 映射通常采取烦琐的手工配置,因此,将指定 DHCP 地址与相应地址的 DNS 映射更新方法结合起来会更加方便。这可以通过组合 DHCP/DNS 服务器或者动态 DNS 来解决。
DHCP 安全问题:认证、与 DHCP 有关的攻击
不幸的是,DHCP 并没有提供安全保障。为了缓解这些问题,[RFC3118]提出了DHCP认证(DHCP Authentication)
- DHCP 认证
- Authentication Information 保存一个类似于密码的字符串,用于 client 和 server 的匹配。
- 很明显这种流量可能被攻击者截获,很不安全,只能抵御偶然的DHCP问题
- DHCP 延期认证
- 如此,则discover 、offer、ACK 消息中包含认证选项
- 用 MAC 确认身份。
- Client 和 Server 有一个共享的密钥,用于确保两者之间互换的 DHCP 消息没有被修改(Integrity)
- DHCP 认证没有被广泛使用的原因:
- 所有 DHCP Server 和每个认证的 Client 都要分发共享密钥
- 认证的定义出现在 DHCP 已经广泛使用之后。
DHCP 很容易受到拒绝服务式攻击,大多数攻击可以通过为 DHCP 增加安全机制来缓解,但是目前仍然很少被使用。