例如DHCP可以利用Option字段传递控制信息和网络配置参数,实现地址的动态分配,为客户端提供更加丰富的网络配置信息。
更多DHCPOption选项的介绍,请参见RFC2132。
Option82选项记录了DHCP客户端的位置信息,交换机接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option82,并转发给DHCP服务器。
管理员可以从Option82中获得DHCP客户端的位置信息,以便定位DHCP客户端,实现对客户端的安全和计费等控制。
支持Option82的服务器还可以根据该选项的信息制订IP地址和其它参数的分配策略,提供更加灵活的地址分配方案。
Option82最多可以包含255个子选项。
若定义了Option82,则至少要定义一个子选项。
目前本交换机支持两个子选项:
CircuitID<电路ID子选项)和RemoteID<远程ID子选项)。
因为Option82的内容没有统一规定,不同厂商通常根据需要进行填充。
目前本交换机对子选项的填充内容如下,电路ID子选项的填充内容是接收到DHCP客户端请求报文的端口所属VLAN的编号以及端口号,远程ID子选项的填充内容是接收到DHCP客户端请求报文的DHCPSnooping设备的MAC地址。
DHCP服务欺骗攻击
在DHCP工作过程中,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器,不仅会给网络造成混乱,也对网络安全造成很大威胁。
这种网络中出现非法的DHCP服务器,通常分为两种情况:
1>用户不小心配置的DHCP服务器,由此引起的网络混乱非常常见。
2>黑客将正常的DHCP服务器中的IP地址耗尽,然后冒充合法的DHCP服务器,为客户端分配IP地址等配置参数。
例如黑客利用冒充的DHCP服务器,为用户分配一个经过修改的DNS服务器地址,在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站,骗取用户的帐户和密码,如图所示。
DHCP侦听是运行在交换机上的一种DHCP安全特性。
通过设置DHCP服务器的连接端口为授信端口,只处理授信端口发来的DHCP响应报文;通过监听DHCP报文,记录用户从DHCP服务器获取局域网用户的四元信息,进行绑定后与ARP攻击防护、IP源防护等安全功能配合使用;同时也可以过滤不可信任的DHCP信息,防止局域网中发生DHCP服务欺骗攻击,提高网络的安全性。
ARP防护
根据所述的ARP地址解读过程可知,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。
但因为ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定的,因此在实际复杂的网络中,此过程存在大量的安全隐患,从而导致针对ARP协议的欺骗攻击非常常见。
网关仿冒、欺骗网关、欺骗终端用户和ARP泛洪攻击均是在学校等大型网络中常见的ARP攻击,以下简单介绍这几种常见攻击:
网关仿冒
攻击者发送错误的网关MAC给受害者,而网络中的受害者收到这些ARP响应报文时,自动更新ARP表,导致不能正常访问网络。
如图所示。
如图,攻击者发送伪造的网关ARP报文给局域网中的正常用户,相应的局域网用户收到此报文后更新自己的ARP表项。
当局域网中正常用户要与网关进行通信时,将数据包封装上错误的目的MAC地址,导致通信中断。
欺骗网关
攻击者发送错误的终端用户的IP/MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。
如图所示。
如图,攻击者发送伪造的用户A的ARP报文给网关,网关收到此报文后更新自己的ARP表项,当网关与局域网中用户A进行通信时,将数据包封装上错误的目的MAC地址,导致通信中断。
欺骗终端用户
攻击者发送错误的终端用户/服务器的IP/MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。
如图所示。
如图,攻击者发送伪造的用户A的ARP报文给用户B,用户B收到此报文后更新自己的ARP表项,当用户B与用户A进行通信时,将数据包封装上错误的目的MAC地址,导致通信中断。
中间人攻击
攻击者不断向局域网中计算机发送错误的ARP报文,使受害主机一直维护错误的ARP表项。
当局域网主机互相通信时,将数据包发给攻击者,再由攻击者将数据包进行处理后转发。
在这个过程中,攻击者窃听了通信双方的数据,而通信双方对此并不知情。
这就是中间人攻击。
如图所示。
假设同一个局域网内,有3台主机通过交换机相连:
A主机:
IP地址为192.168.0.101,MAC地址为00-00-00-11-11-11;
B主机:
IP地址为192.168.0.102,MAC地址为00-00-00-22-22-22;
攻击者:
IP地址为192.168.0.103,MAC地址为00-00-00-33-33-33。
1.首先,攻击者向主机A和主机B发送伪造的ARP应答报文。
2.A主机和B主机收到此ARP应答后,更新各自的ARP表。
3.A主机和B主机通信时,将数据包发送给错误的MAC地址,即攻击者。
4.攻击者窃听了通信数据后,将数据包处理后再转发到正确的MAC地址,使A主机和B主机保持正常的通信。
5.攻击者连续不断地向A主机和B主机发送伪造的ARP响应报文,使二者的始终维护错误的ARP表。
在A主机和B主机看来,彼此发送的数据包都是直接到达对方的,但在攻击者看来,其担当的就是“第三者”的角色。
这种嗅探方法,也被称作“中间人”的方法。
ARP泛洪攻击
攻击者伪造大量不同ARP报文在同网段内进行广播,消耗网络带宽资源,造成网络速度急剧降低;同时,网关学习此类ARP报文,并更新ARP表,导致ARP表项被占满,无法学习合法用户的ARP表,导致合法用户无法访问外网。
在本交换机中,通过四元绑定功能在用户接入交换机时即对用户的四元信息进行绑定;而在ARP防护功能中则利用在交换机中绑定的四元信息对ARP报文进行检查,过滤非法ARP报文。
通过上述两步可以很好的对局域网中ARP攻击进行防御。
复制和剪切操作对文件权限会产生什么影响
同一用户不会有影响或者是具用管理员权限的用户不会有影响。
只有受限的用户在复制和剪切的时候受到影响。
<具体不了解)
dhcp服务器的作用是什么?
你可以提供哪些dhcp服务器的建设方案
DHCP称为动态主机配置协议。
DHCP服务允许工作站连接到网络并且自动获取一个IP地址。
配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址,以及一个DNS服务器的IP地址。
DHCP的工作原理:
DHCP是一个基于广播的协议,它的操作可以归结为四个阶段,这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。
1、IP租用请求:
在任何时候,客户计算机如果设置为自动获取IP地址,那么在它开机时,就会检查自己当前是否租用了一个IP地址,如果没有,它就向DCHP请求一个租用,因为该客户计算机并不知道DHCP服务器的地址,所以会用255.255.255.255作为目标地址,源地址使用0.0.0.0,在网络上广播一个DHCPDISCOVER消息,消息包含客户计算机的媒体访问控制2、IP租用提供:
当DHCP服务器接收到一个来自客户的IP租用请求时,它会根据自己的作用域地址池为该客户保留一个IP地址并且在网络上广播一个来实现,该消息包含客户的MAC地址、服务器所能提供的IP地址、子网掩码、租用期限,以及提供该租用的DHCP服务器本身的IP地址。
3、IP租用选择:
如果子网还存在其它DHCP服务器,那么客户机在接受了某个DHCP服务器的DHCPOFFER消息后,它会广播一条包含提供租用的服务器的IP地址的DHCPREQUEST消息,在该子网中通告所有其它DHCP服务器它已经接受了一个地址的提供,其他DHCP服务器在接收到这条消息后,就会撤销为该客户提供的租用。
然后把为该客户分配的租用地址返回到地址池中,该地址将可以重新作为一个有效地址提供给别的计算机使用。
4、IP租用确认:
DHCP服务器接收到来自客户的DHCPREQUEST消息,它就开始配置过程的最后一个阶段,这个确认阶段由DHCP服务器发送一个DHCPACK包给客户,该包包括一个租用期限和客户所请求的所有其它配置信息,至此,完成TCP/IP配置。
DHCP服务常见问题的解决方案
1、根据客户计算机的IP租用原理可以知道,在一个子网内,如果存在多台DHCP服务器来提供地址配置信息,这是不违反请求、分配原则的,因为只要中有一台客户计算机在该子网中提出IP地址租约请求,因为请求是广播形式的,所以在子网中可以有任意数量的特定DHCP服务器响应一个IP租用请求,而客户请求后选中的是这些任意特定DHCP服务器中的某一台,这个选择具有随机性,但有一点要注意的是客户只能为每一张网络接口卡接受一个租用提供,上面所谓特定的DHCP服务器是指那些经过系统授权的DHCP服务器,而非授权的DHCP服务器将无法在网络中提供正常的地址分配服务,这一点非常重要,因为这样一来客户机器将只会在管理员设定的地址范围中取得地址,Windows2000操作系统的这一新增功能,通过对DHCP服务器进行认证避免了非法DHCP服务器分配非法IP地址造成的IP地址冲突,在实际应用中,客户机器获取非法的地址经常是造成网络瘫痪和无法正常通讯的一大原因。
综合上面的分析可以做出第一个问题的结论:
在一个子网中可以存在多台DHCP服务器来提供地址分配,但能够作为地址提供的不是任意的DHCP服务器,而应该是经过系统认证的那些,客户机请求地址时最终从那一台经过认证机器中获取时随机的。
此外,从另一个角度看,在相同子网上使用多个DHCP服务器,将为它所服务的DHCP客户机提供更强的容错能力,如下图所示,在一个子网内<网络号为192.168.1.0掩码为255.255.255.0)共用两个DHCP服务器,其中的DHCP服务器1不可用的话,DHCP服务器2可以取代它并继续租用新的地址或续订现有客户机。
可以建议采用的解决方案是使用80/20规则来划分两个DHCP服务器之间的作用域地址,具体做法可以是将服务器1配置成可使用大多数地址<约80%),服务器2可以配置成让客户机使用其他地址<约20%)。
2、如果在一个网络中存在多个子网,而多个子网的主机都需要DHCP服务器来提供地址配置信息,那么我们可以采用的方法是在每一个子网中安装一台DHCP服务器,让它们来为各个子网分配IP地址,但从节约资源利用出发,我们一般情况下不这样做,可以采取在一个子网中安装DHCP服务器,让它来为多个子网分配IP地址,实现多子网地址分配可以借助DHCP的中继代理功能实现,而作为中继代理的设备可以是一台提供中继代理程序的Windows2000服务器或是一个符合RFC1542规定的路由器,具备DHCP/BOOTPRelayAgent的功能以管理的局域网分为三个子网,用Win2000服务器连接。
下面是实现跨子网使用DHCP服务器的具体解决方案:
<1)安装DHCP中继代理程序:
在Windows2000服务器的“路由和远程访问”窗口中,依次展开“本地服务器→IP路由选择→常规”选项,右键点击“常规”选项,在弹出的菜单中选择“新增路由协议”,然后在“新路由协议”窗口中选择“DHCP中继代理程序”,接着点击“确定”按钮。
<2)指定DHCP服务器:
右键点击刚刚添加的“DHCP中继代理程序”选项,在弹出菜单中选择“属性”,进入“DHCP中继代理程序属性”对话框,在“常规”标签页的“服务器地址”栏中输入子网1中DHCP服务器的IP地址:
192.168.1.2,然后点击“添加”按钮,最后点击“确定”按钮关闭该对话框。
<3)配置访问接口:
右键点击“DHCP中继代理程序”选项,在弹出菜单中选择“新增接口”,然后在“DHCP中继代理程序的新接口”对话框中的“接口”列表框中选中可以访问子网1中的DHCP服务器的接口,这里新增的接口应该是接口二和接口三,接着点击“确定”按钮。
然后在弹出的“DHCP中继站属性”对话框中,选中“中继DHCP数据包”选项,这样就启用了它的中继功能,最后点击“确定”按钮。
<4)DHCP服务器中配置一个超级作用域,其中包含三个普通作用域,作用域地址范围可以分别设置为192.168.1.10~192.168.1.254<分配给子网1的PC使用);192.168.2.10~192.168.2.254<分配给子网2的PC使用);192.168.3.10~192.168.3.254<分配给子网3的PC使用),必须记住DHCP只能为每一个子网分配一个范围。
完成以上配置后,子网2和子网3中的DHCP客户机PC2及PC3就可以通过主机A的DHCP中继代理程序访问子网1中的DHCP服务器。
3、解决了单台DHCP服务器为多个子网分配IP地址后,我们还要搞清楚的一个问题是,如果某一个子网的PC如子网2中的PC2或子网3中的PC3发出地址请求信息后,主机A可以作为中继代理对他们的请求传达子网1中的DHCP服务器,但该DHCP服务器如何可以确定并准确地将作用域192.168.2.0网段的地址分给PC2而把作用域192.168.3.0网段的地址分给PC3呢?
这个是多数学生可能存在的疑问,要搞清楚这个问题,可以参考以下的原理分析来找答案:
以子网2中的主机PC2为例,DHCP客户机PC2在子网2上广播DHCP/BOOTPdiscover消息(DHCPDISCOVER>,广播是将消息以UDP(UserDatagramProtocol>数据包的形式通过67端口发出,当中继代理当在子网1中的DHCP服务器收到这个消息后,它开始检查消息中的网关IP地址,然后判断该网关地址是否包含在DHCP的某一个作用域范围内,从而决定它是否可以使用相应的作用域的地址来提供IP地址租约,当然,本例中DHCP服务器将会从作用域192.168.2.10~192.168.2.254选取一个地址来配置PC2;也就是说DHCP客户机的请求地址消息中的网关IP地址(GIADDR>将是DHCP服务器用来确定从那个DHCP范围中挑选IP地址来配置客户机的依据。
4、如果DHCP客户机无法找到DHCP服务器,则它从微软保留的B类网段169.254.0.0中挑选一个IP地址作为自己的IP地址,子网掩码为255.255.0.0,所挑选的地址由DHCP客户机利用ARP广播来确定自己所挑选的IP地址是否已被网络上的其它设备使用,如果该IP地址已被使用,那么客户机会再挑选另一个IP地址重新进行测试,而且最多可以重试十个IP地址,直到成功获取配置。
在此之后,客户机会在后台继续每隔5分钟尝试与DHCP服务器进行通信,一旦与服务器取得联络,则客户机放弃自动设置的IP地址,而使用服务器分配的IP地址和其它配制信息。
所以当你在某一天发现你的PC的IP地址是个B类的地址169.254.0.0/16网段的地址时,你就应该知道那是怎么一回事了吧。
至此,我们分析了几个关于DHCP服务的应用方面的疑难问题,并且给出了相应的解决方案,对于DHCP服务在教案中我们还遇到许多一些其他问题,比如说DHCP服务器本身的地址是否一定要由管理员静态指定,设置为自动获取将会有什么后果?
为什么把客户机器向DHCP服务器请求地址称为地址租用,租用时间的长短对网络中IP地址的管理与应用有哪些帮助?
如何可以使用DHCP服务让一个自动获取IP的主机能在任何时候都能取得指定的一个固定地址?
这些问题都要求教师在教案当中要认真地去探究该服务的每一个细节的知识点,才可以对该知识点的原理以及在实际中的应用进行透彻的讲授,也是我们熟练掌握和使用DHCP服务的前提。
十九dns和wins服务器的区别有哪些?
DNS指的是“域名服务器”,而WINS指的是“Windows互联网名称服务”。
两者都是用来解读域名的,但是,使用的方法完全不同!
为了帮助说明这个问题,我准备使用一个例子,保证让你正确地了解这两种服务的情况。
考虑一个名为“Jupiter”的文件服务器和下面两个指令:
PingJ
Netuse*jupitermainshare
上面两个指令看起来很相似。
第一个指令是向我们的文件服务器发送一个ping(icmpecho>数据包,确认这个服务器在工作。
而第二个指令呼叫同一台服务器(jupiter>,以便连接到一个名为“mainshare”的共享文件夹。
虽然这两个指令都指向同一台服务器(Jupiter>,但是,它们之间的区别是很重要的。
这里的“Ping”使用DNS把J解读为一个IP地址,如204.45.12.1。
而“netuse”指令使用WINS把NetBIOS名称“Jupiter”解读为一个IP地址。
这样,你也许会感到疑惑,为什么有两种不同的服务实际上在完成同一个任务?
这个问题的答案是,这两种服务的每一种服务都依靠不同的协议。
他们只是以不同的方式工作。
WINS是微软网络拓扑的一个重要的组成部分。
在过去,你需要在Windows网络中运行一个WINS服务器以避免域名解读的问题。
当时的这种NetBIOS(Windows机器名称>协议只能在NetBEUI传输协议上工作。
如果你曾经使用过Windows95,你会记得NetBEUI协议经常出现在你的网络属性中。
在网络属性中,TCP/IP协议也是一个选项。
目前,DNS取代了WINS。
因为微软对NetBIOS做了修改,允许它使用TCP/IP堆栈完成其工作(TCP/IP协议上的NetBIOS>,大多数DNS服务器都能够处理NetBIOS的请求。
这就是WINS服务器变得越来越少的原因。
简言之,DNS把TCP/IP主机名称映射为IP地址,WINS把NetBIOS主机名称映射为IP地址。
升级会员 