DHCP技术及其安全性的研究.docx

1、DHCP技术及其安全性的研究摘要由于可以方便的管理IP地址，动态的为网络中的客户端分配IP地址，进行网络配置，DHCP成为了网络中基础性的服务，在现代网络体系架构中被广泛应用。DHCP技术动态地为主机配置参数，可以有效的解决目前IP地址资源不足和无线网络用户移动性等问题，并能减轻网络管理员的工作量，减少手动网络配置的错误，使得IP网络地址的分配和管理变的容易，为用户上网提供了方便，但是对于客户端和服务器来说，DHCP本身没有权限控制机制，恶意用户便可以很容易地获得IP访问内部或外部网络，存在着很大的安全隐患。关键字：网络； DHCP； IP地址； 安全AbstractBecause of th

2、e easy to management IP address，dynamically allocated IP address for the client in the network，For network configuration，DHCP became the basic service in network，in the modern network system architecture is widely used.DHCP technology to dynamically configure the parameters for the host，can effectiv

3、ely resolve the IP address resource shortage problem and wireless network user mobility problem and so on，and can reduce the workload of the administrator，reduce the mistakes in manual network configuration，makes the allocation and management of the IP network address becomes easy，DHCP technology pr

4、ovides the convenience for the online user，But for the client and the server, DHCP itself has no access control mechanism，a malicious user can easily get the IP access to the internal and external network，There are a lot of potential safety hazard.Keyword: network，DHCP，IP address，safety第1章 绪 论1.1 研究

5、背景TCP/IP网络在Internet领域中占据的比重越来越大。计算机的普及，现代生活网络化、信息化的发展，使得网络已经成为人们沟通与交流不可分割的一部分。1.1.1 研究DHCP技术的重要性1. 缓解IP地址的缺乏在Internet网络规划中，现行采用的是IPv4（IP第四版，32bit的IP地址）的协议标准。由于IP地址资源日趋紧张，而IPv6（IP第六版，128bit的IP地址）尚未普及，采用DHCP服务动态的给客户端分配IP地址，大大提高了IP地址的利用率，有效缓解了IP地址紧缺的问题。2. 解决客户端经常移动的问题随着笔记本电脑的普及，大量的移动客户端入网时需要配置网络参数，这样使网

6、络具有了很强的动态性，在这种情况下，客户端就必须修改自己的IP地址，而如果使用DHCP服务，计算机将自动联系DHCP服务器并且取得新子网中的一个IP地址。3. 避免不必要的错误在常见的小型网络中，网络管理员基本上是采用手动配置IP地址的方法，而到了中大型网络，这种方法就不太适用了，特别是大型网络中。如果所有主机的IP地址都靠管理员的手工设置，并且必须配置的网络参数还包括子网掩码、网关地址、DNS地址，这种方式很容易出错，还会使网络中的IP发生冲突带来许多的不便，即使客户端不再使用该IP地址，该IP地址仍然被其占据不能被其它客户端使用。因此，为了解决手动分配IP地址方法存在的弊端, 引入了DHC

7、P技术。1.1.2 研究DHCP技术安全的必要性DHCP系统早在1990s就设计出来了，那个时期的互联网络数量相对来说很少, 因此DHCP本身基本没有安全性设计可言。随着互联网规模日益扩大，网络安全问题日益突出，DHCP系统也面临着严重的安全威胁，DHCP不仅运行于不具有安全性的UDP/IP 协议层之上，而且DHCP协议本身没有任何安全措施，一旦DHCP遭受攻击，整个DHCP服务覆盖的网络范围都将遭受无法估量的损失。DHCP安全是一个很重要的问题，它与DHCP的应用息息相关。1.2 论文研究内容1.2.1 DHCP协议及相关协议的研究首先是了解DHCP协议中所规范的为网络中的客户端动态地配置I

8、P地址和网络参数的过程。搜集目前应用DHCP协议的领域，分析DHCP服务器在与客户端交互信息的过程和为客户端配置的选项信息。研究在最新的应用领域中对DHCP的选项信息的定义和内容的扩展，以及有关DHCP方面的最新的技术动态。1.2.2 DHCP面临的安全隐患及解决措施查阅大量资料，了解网络中面临的威胁和网络安全的关键技术。结合DHCP工作原理和DHCP服务器与客户端交互的过程，分析在采用DHCP技术网络中，对DHCP服务器和客户端的网络威胁。针对这些威胁产生的原因及对网络的危害程度和其危害原理，根据DHCP服务器工作的特点, 研究对应的方法和策略。1.2.3 DHCP服务器容灾技术了解最新的容

9、灾技术，对比不同的容灾技术和方法进行详细比较，总结出不同的容灾技术对应的不同场合。研究DHCP服务器应用的范围，和工作特点，针对DHCP服务器的应用找出适合的方法和技术。在出现灾难或者意外时，为网络的畅通使用，DHCP服务器的容灾技术不仅仅是数据上的备份，还要在应用上保证为网络中的计算机提供连贯的IP服务，保证DHCP服务器配置文件和活动租约信息等所有数据的完整性和安全性。在发生故障时，备用DHCP服务器平滑的接替灾难中的DHCP服务器提 供正常的IP服务。1.3 论文结构章节安排第一章简要介绍了本文的研究背景、意义和研究的主要内容，最后还简单介绍了论文内容的安排。第二章介绍了DHCP协议，工

10、作原理及过程，DHCP客户端地址的申请和DHCP中继服务。第三章是本文的重点，主要研究DHCP常见的易受到的威胁，分析DHCP威胁因素，并针对这些威胁提出了主动检测，检查MAC地址，LANA系统，SPINACH方法和DHCP消息认证的方法，消除DHCP威胁结合的网络安全技术。第四章介绍容灾技术的概念和评测参数，研究实现DHCP服务器容灾的可行方法为DHCP服务器提供冗余服务器。第五章结束语, 总结论文的研究成果, 并展望后续的研究工作。第2章 DHCP技术2.1 DHCP概述2.1.1 DHCP的概念DHCP1的全称是Dynamic Host Configuration Protocol(动态

11、主机配置协议)，它的两个主要组成部分是协议（用在DHCP服务器和客户端之间交流TCP/IP配置参数，协议分装在用户数据报协议UDP数据报中）和服务（用于管理DHCP客户端的请求和维护TCP/IP配置参数的数据库）。DHCP的目的是为了减轻TCP/IP网络的规划、管理和维护的负担，解决IP地址空间缺乏问题。DHCP用于给多个客户端集中分配IP地址以及相关的配置参数，将TCP/IP的设置和IP地址统一起来管理，避免了不必要的地址冲突问题。常常用在众多计算机的网络管理中，从而减少了网络管理员手动配置地址带来的不便。 DHCP的前身是BOOTP2。BOOTP原本是用于无磁盘主机连接的网络上面的：网络主

12、机使用BOOTROM而不是磁盘启动并连接上网络，BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：在设定前须事先获得客户端的硬件地址（MAC），而且，与IP的对应是静态的。换而言之，BOOTP非常缺乏“动态性”，若在有限的IP资源环境中，BOOTP的一对一对应会造成非常可观的浪费。DHCP可以说是BOOTP的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；客户端则会使用从服务器分配下来的IP数据。与BOOTP比较起来，DHCP透过“租约”的概念，有效且动态的分配客户端的TC

13、P/IP设定，而且，作为兼容考虑，DHCP 也完全照顾了BOOTP Client 的需求。2.1.2 DHCP分配方式DHCP是基于C/S（客户端/服务器）模式的。这种模式下，根据DHCP协议，把DHCP服务器主机设计成提供初始化参数的主机，传递网络配置参数给需要的网络主机。DHCP协议支持三种IP地址分配方式2。第一种是自动分配（Automatic Allocation），一旦DHCP客户端第一次成功的从DHCP服务器端租用到IP地址之后，就永远使用这个地址。第二种是动态分配（Dynamic Allocation），当DHCP客户端第一次从DHCP服务器端租用到IP地址之后，并非永久的使用该

14、地址，只要租约到期，客户端就得释放(release)这个IP地址，以便给其它客户端使用，当然，客户端可以比其它主机更优先的更新(renew)租约，或是租用其它的IP地址。第三种是手动分配，客户端IP地址由网络管理员指定，DHCP协议仅用来向客户端传递指定的地址。如表2-1所示，列出了动态TCP/IP配置与手动TCP/IP配置的特点对比。表 2-1 DHCP动态TCP/IP配置与手动TCP/IP配置的特点对比动态TCP/IP配置手动TCP/IP配置确保网络中客户端得到的IP信息是合法的和可用的。使用不正确的IP地址可能会导致网络问题，无法访问网络资源。只配置服务器即可，避免多个用户使用相同IP地

15、址而产生的冲突。输入IP地址、子网掩码、默认网关、DNS（IP、MASK、GATEWAY、DNS）时可能会有输入错误或输入无效的IP地址，导致了通信无法常进行。能动态的设定IP地址之外，还可以将一些IP保留下来给一些特殊用途的机器使用。在每台客户端上手动输入IP 地址，耗时较多。2.1.3 DHCP端口号 DHCP协议报文使用UDP协议封装。DHCP服务器监听UDP端口号67，DHCP客户端监听UDP端口号68。DHCP服务器和客户端分别使用不同的端口而不是使用同一个端口的原因是，DHCP服务器的应答是可以广播的，使用不同的UDP端口号，可以确保只有客户端会接收应答消息。2.1.4 DHCP报

16、文1. DHCP报文的分组格式，如表 2-2。表 2-2 DHCP报文的分组格式链路层头IP首部UDP首部DHCP消息 14字节 20字节 8字节 548字节（max）2. DHCP消息格式，如表 2-3。表 2-3 DHCP消息格式op(1)htype(1)hlen(1)hops(1)xid(4)secs(2)flags(2)ciaddr(4)yiaddr(4)siaddr(4)giaddr(4)chaddr(16个字节)sname(64个字节)file(128个字节)options(可变长variable)op字段：operator，表示当前报文是客户端的请求还是服务器的应答, 为1(1=BOOTREQUEST)时