Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、扩展性和专业技术,助其从容拓展业务。
动态主机配置协议 (DHCP) 是一种为企业网络上的每个网络设备(称为主机)分配互联网协议 (IP) 地址的系统。主机可能是台式计算机、笔记本电脑、平板电脑、移动设备、瘦客户机或其他类型的设备。每个主机都必须有 IP 地址,才能通过互联网与其他设备通信。DHCP 网络协议会自动分配地址,而不是要求网络管理员手动分配地址。当设备移动到网络上的新位置时,DHCP 还负责自动分配新的 IP 地址。除 IP 地址外,DHCP 服务还会分配对网络通信至关重要的配置参数,例如域名系统 (DNS) 地址、子网掩码和默认网关。
动态主机配置协议的工作原理是什么?
Diagram illustrating how Dynamic Host Configuration Protocol (DHCP) works
设备(也称为 DHCP 客户端)加入网络时,它会向网络的子网广播“DHCP 发现”消息,请求 IP 地址以及其他配置信息。当网络中的 DHCP 服务器接收到 DHCP 发现消息时,会返回 DHCP 提供消息,其中可能包含从 IP 地址池选中的 IP 地址,以及网络参数和 DHCP 信息(如 DNS 服务器、子网掩码、默认网关及 IP 地址租约期限)。DHCP 客户端可能会收到多个响应,但它只选择其中一个 IP 地址,并发送一条返回消息,确认它正在接受哪个提供消息。DHCP 服务器通过一条消息确认接受,其中包含最终确认的 IP 配置详细信息,客户端使用这些详细信息来配置其网络接口。使用 DHCP 时,大多数客户端都可以获得特定时间段的租用,并且可以通过请求服务器延期来续租。客户端离开网络时,它会发送一条 DHCP 释放消息,让服务器知道 IP 地址现在可用,并且可以重新分配。
动态主机配置协议有哪些组成部分?
DHCP 服务器。DHCP 服务器会自动将可用地址池中的 IP 地址分配给连接到网络的设备。DHCP 服务器还会提供其他网络配置参数,包括子网掩码、默认网关和 DNS 服务器。
DHCP 客户端。连接到网络并从 DHCP 服务器接收配置信息的设备。客户端可能是需要连接的计算机、笔记本电脑、移动设备或任何其他设备。
DHCP 中继。DHCP 中继使 DHCP 客户端与服务器能够互相通信。
IP 地址池。DHCP 服务器可分配给设备的 IP 地址集合。
子网。子网是 IP 网络的较小部分,其划分目的是简化网络管理。
租约。租约指的是设备从 DHCP 服务器获取的 IP 地址及配置信息的有效时长。当租约到期时,设备可向 DHCP 服务器请求续租。
DNS 服务器。DHCP 服务器还可以向 DHCP 客户端提供 DNS(域名系统)服务器信息,使其能够解析 IP 地址的域名。
默认网关。默认网关是当目标地址位于本地网络之外时,数据包的转发目的地。
动态主机配置协议有哪些好处?
DHCP 协议使企业和网络管理员能够:
简化网络管理。DHCP 通过高效、自动地处理 IP 地址分配,减轻网络管理员的负担。对于必须频繁更新的设备(例如在无线网络中于不同位置之间移动的移动电话),DHCP 尤为有效。
优化 IP 地址。重复使用 IP 地址可充分减少网络所需的地址总数。
简化变更管理。DHCP 允许企业将 IP 地址方案从一个地址段切换到另一个地址段,且不会对最终用户造成干扰。
尽可能减少错误。DHCP 集中并自动化管理 IP 地址,从而充分减少两台设备接收相同地址或一台设备接收错误地址的可能性。
DHCP 面临哪些威胁?
动态主机配置协议容易受到多个重大漏洞的影响。
恶意 DHCP 服务器。恶意 DHCP 服务器是向客户端提供恶意 DHCP 服务的未经授权设备,包括不正确或冲突的 IP 地址、子网掩码、网关或 DNS 服务器。恶意服务器可能会导致拒绝服务、网络中断或路由不准确,并且它们可能参与中间设备攻击。
中间设备攻击。DHCP 服务器可能容易受到中间设备攻击,在这类攻击中,恶意攻击者会拦截和转发双方之间的消息。
DHCP 耗尽攻击。耗尽攻击会发送大量带有欺骗性 MAC 地址的 DHCP 请求,以耗尽可用的 IP 地址池。其结果是导致拒绝服务,其中合法的网络客户端可能无法获取 IP 地址或访问网络。
欺骗式攻击。在 DHCP 欺骗攻击中,攻击者会拦截和修改 DHCP 消息,以更改 IP 地址、重定向网络流量、窃取敏感数据或执行中间设备攻击。
中继攻击。DHCP 中继代理是在各个网络分段之间转发 DHCP 消息的设备。在 DHCP 中继攻击中,攻击者可能会使用被入侵的 DHCP 中继代理注入恶意 DHCP 消息或访问网络的受限分段,从而绕过 DHCP 服务器的安全控制措施。
脚本漏洞。通过使用脚本,可以自动化执行和自定义 DHCP 操作。如果这些脚本编写不当或未经充分测试,就可能存在错误或后门,进而威胁 DHCP 服务器的安全。
保护 DHCP 的最佳实践有哪些?
为了提高网络安全性,网络管理员可以采用多层方法来保护动态主机配置协议系统免受威胁。
对 DHCP 服务器和客户端进行身份验证和访问控制,可以阻止恶意 DHCP 服务器,并确保只有授权的客户端才能接收 IP 地址。
防火墙可以监控和过滤流量,并保护 DHCP 服务器免受未经授权的访问或攻击。
日志记录使管理员能够监控 DHCP 服务器的性能并识别可疑行为或异常情况。
应用补丁和更新服务器,有助于防止利用漏洞发起的攻击。
数据加密可抵御数据泄露并防止窃听。
DHCP 监听可过滤掉恶意 DHCP 消息。
DNS 防火墙可阻止恶意域或 IP 地址。
常见问题
分配 IP 地址是使网络设备能够使用标准传输控制协议/互联网协议 (TCP/IP) 进行通信的关键步骤。通过自动分配 IP 地址并从已离开网络的设备收回地址,DHCP 使该过程变得更轻松、更高效。这减轻了网络管理员的负担,同时提高了 IP 地址分配的准确性。
使用动态 DHCP,设备会租用 IP 地址一段时间,而不是永久拥有 IP 地址。静态 IP 分配是永久性的,并且保留给 Web 服务器和交换机等设备。