Lesetid (240 ord/min): 7 minutter
Innholdsfortegnelse
Hva er DHCP?
DHCP er en forkortelse for “Dynamic Host Configuration Protocol“, eller “Den dynamiske vertskonfigurasjonsprotokollen” på norsk.
DHCP er en nettverksprotokoll som fungerer på applikasjonslaget i OSI-modellen. En server som bruker DHCP, vil kunne tilordne IP-adresser og andre nettverkskonfigurasjonsparametere dynamisk til enheter på nettverket, og dermed tillater kommunikasjon til andre nettverk og enheter. Protokollen kan implementeres i nettverk av alle størrelser, alt fra små hjemmenettverk (HAN) til store campusnettverk (CAN) og til og med nettene som brukes av Internettleverandører (ISPer).
Hvordan virker DHCP?
DHCP kjører i en klient / server modus, hvor serveren oppretter et basseng av tilgjengelige IP-adresser for et nettverk. En DHCP-server gir også brukeren en nettverksgateway, subnetmasker, navneservere og en tid en gitt IP-adresse vil være gyldig. En DHCP-klient henter disse parametrene og bruker dem til å bli med i det eksisterende nettverket. I hjem og små kontorer fungerer en ruter også som en DHCP-server. I et større nettverk kan en dedikert server fungere som en DHCP-server sammen med å utføre andre serveraktiviteter.
Prosessen med å skaffe en IP-adresse fra DHCP-serveren er som følger.
- En datamaskin (klient) som er konfigurert til å bruke DHCP, sender en DHCP DISCOVER-forespørsel til nettverket.
- En DHCP-server mottar en DHCP DISCOVER-forespørsel. Serveren slår opp tilgjengelige IP-adresser i sin IP-adressepool og gir klienten en ledig IP-adresse. Har den samme klieenten tidligere hatt en midlertidig IP-adresse tildeler DHCP-serveren den samme IP-adressen til klienten. DHCP-serveren sender DHCP OFFER-respons til klienten.
- Klienten mottar svaret på DHCP-tilbudet og svarer på DHCP-serveren ved å sende DHCP REQUEST-pakken for å godta tilbudet.
- DHCP-serveren sender ACK (acknowledge) -pakke for å bekrefte IP-adressetildeling. Hvis IP-adressen ikke lenger er tilgjengelig, sendes NACK (No acknowledge) -pakke og prosessen gjentas til klienten mottar en gyldig IP-adresse fra serveren.
Hva er fordelene med å bruke DHCP?
En datamaskin, nettbrett eller smarttelefon som trenger å bli med på et eksisterende nettverk (hjemme eller kontor) må konfigureres på riktig måte for å kommunisere med andre enheter i nettverket. Manuell konfigurering av statiske IPv4- eller IPv6- adresser sammen med nettverksspesifikke opplysninger resulterer i menneskelige feil, da det er betydelig antall sifre som skal skrives inn. Manuell konfigurasjon kan også ende opp med å tilordne en samme IP-adresse til flere enheter som forårsaker en IP-konflikt. DHCP automatiserer den besværlige manuelle prosessen og tildeler IP-adressen dynamisk.
DHCP tillater nettverksadministratorer sentralt å administrere og automatisere tildelingen av IP-adressene uten å måtte bekymre seg om å tilordne en duplikat IP-adresse til flere datamaskiner og skrive inn nettverksgateway, nettverksmaske og annen nettverksrelatert informasjon til hver datamaskin og dermed lage nettverk administrasjon mye enklere å administrere.
Hvordan vet du om du bruker DHCP
Hvis du vil vite om du bruker en dynamisk eller statisk IP-adresse, kan du bruke kommandoen ipconfig på Windows. På MAC- eller Linux-maskiner kan du bruke ifconfig- kommandoen.
På Windows-maskinen ligner kommandoen ipconfig- kommandoen slik.
På Mac- og Linux-maskiner vil utdataene ifconfig se slik ut.
Struktur og funksjonalitet
En DHCP-server utfører sin funksjonalitet ved å aktivere enheter på nettverket ved å automatisk tildele hver enhet en unik IP-adresse. Denne prosessen gjør at nettverket kan fungere uten at en nettverksadministrator trenger å manuelt tilordne IP-adresser til hver enhet på nettverket. Protokollen benytter en klient-server-modell, hvor DHCP-klientprogramvaren automatisk sender en forespørsel til alle enhetene på nettverket når enheten blir koblet på nettverket for å be om informasjon fra de andre enhetene.
Spørringen blir gjenkjent av alle DHCP-server på nettverket som vil administrere en IP-adresse for et IP-basseng og andre viktige standardkonfigurasjonsinnstillinger, som standard gateway, domenenavn, tidsservere og navneserverne. Serveren som gjenkjenner forespørselen, kan svare med relevant forhåndsdefinert informasjon til klienten.
Disse spørringene sendes vanligvis umiddelbart etter en klient oppstart og med jevne mellomrom etterpå før informasjonen utløper. Det skal også bemerkes at når klienten ber om ny informasjon for et oppdrag, krever det vanligvis de samme verdiene, men dette kan endres av nettverksadministratoren avhengig av oppdragspolicyene som er konfigurert på serveren. I tilfelle at denne informasjonen ikke er forhåndskonfigurert av en nettverksadministrator, vil den i stedet svare med en bestemt adresse og annen informasjon som passer for hele nettverket og i løpet av gyldig tidsperiode.
Fordelingen av IP-adresser kan gjøres på en av tre måter, avhengig av DHCP-serverens implementering. Dynamisk allokering oppnås av nettverksadministratoren som angir en rekke IP-adresser som serveren skal bruke til å utstede til klienter i en allokert tidsperiode. Denne forespørsels- og tildelingsprosessen fungerer som en leieavtale hvor serveren kan gjenvinne adresser som ikke er fornyet av klienten for omfordeling til andre kunder.
Automatisk tildeling ligner dynamisk tildeling da nettverksadministratoren angir rekkevidden av IP-adresser for serveren som skal brukes; Disse adressene er imidlertid permanent knyttet til klienter som kobler seg til serveren. Dette betyr at serveren også vil føre en oversikt over hvilke adresser som er knyttet til hvilke klienter, slik at når en klient kobler seg til den serveren, kan de motta samme IP-adresse som den siste tiden da de var tilkoblet.
Til slutt blir manuell (eller statisk) tildeling oppnådd av nettverksadministratoren å sette opp et kartleggingsskjema for serveren som skal brukes. Når konfigurasjonen er konfigurert, utsteder serveren hver klient en privat IP-adresse basert på MAC-adressen (Media Access Control). I tilfelle at en kamp for klientens MAC-adresse ikke kan kartlegges, kan serveren i stedet bruke en av de andre allokeringsmetodene.
Protokollen brukes til både IPv4 og IPv6 og utfører de samme oppgavene i begge versjoner, men detaljene for hver av dem er forskjellige nok til at de kan betraktes som to separate protokoller. Uavhengig av dette bruker protokollen brukerdatagramprotokollen (UDP) til å bruke en forbindelsesløs modell. Den bruker to UDP portnumre for operasjonen portnummer 67 brukes til en server mens 68 er for klienten. Disse operasjonene kan da deles inn i fire faser: serveroppdagelse, IP lease tilbud, IP lease forespørsel, og IP lease bekreftelse. Et vanlig akronym som brukes til å beskrive disse faser er DORA som står for oppdagelse, tilbud, forespørsel og bekreftelse.
I funn fasen sender klienten en DHCPDISCOVER melding til alle enheter på nettverket ved å bruke adressen 255.255.255.255 eller den spesifikke nettverksutsendingsadressen. Det skal også bemerkes at en klient også kan be om sin siste kjente IP-adresse, men resultatene kan variere. Hvis klienten er på samme nettverk som når den først er tilkoblet, vil forespørselen bli kvittert uten problem. Hvis dette ikke er tilfelle, vil det imidlertid avhenge av om serveren er autoritativ eller ikke. En autorisert DHCP-server vil nekte forespørselen og tvinge klienten til å be om en ny adresse, mens en ikke-autoritativ DHCP-server vil ignorere forespørselen som kan føre til at det utelates for klienten, avhengig av om den ble implementert og har de ber om en ny IP-adresse.
Under tilbudsfasen mottar en DHCP-server en DHCPDISCOVER-melding fra en klient på nettverket og reagerer ved å reservere en IP-adresse for klienten og svarer med en DHCPOFFER-melding til klienten. Dette responstilbudet vil inneholde IP-adressen, nettverksmasken, varighetstiden for leieavtalen, MAC-adressen til klienten og IP-adressen til serveren.
Som svar på tilbudet fra en DHCP-server svarer klienten med en DHCPREQUEST-melding for å legge inn forespørselsfasen. Denne meldingen angir at klienten godtar serverens tilbud, men det bør bemerkes at mens en klient kan motta mange tilbud fra en rekke servere, kan den bare utstede en forespørsel om å godta et av tilbudene. Avhengig av serveridentifikasjonsalternativet i forespørselen og kringkastingsmeldingen, er det mulig for alle DHCP-servere å bli informert om hvilket tilbud en klient har akseptert. Dette gjør det mulig for servere som kan ha ventende tilbud å trekke dem tilbake og returnere den reserverte IP-adressen tilbake til deres basseng av tilgjengelige adresser.
Til slutt, når serveren mottar DHCPREQUEST-meldingen som en aksept av tilbudet fra en klient, går prosessen inn i kvitteringsfasen ved at serveren sender en DHCPACK-melding tilbake til klienten. Denne meldingen vil inneholde leieavtalen og eventuelle andre konfigurasjonsparametre som klienten kan ha bedt om og bringer prosessen til slutt.
Det skal også bemerkes at det er mulig å sette opp et DHCP-relé eller DHCP-hjelpemiddel hvis klienten og serveren er på forskjellige undernettverk i et nettverk. I disse scenariene vil DHCPDISCOVER-meldingen bli sendt til det delnett som serveren er på. Dette oppnås ved å ha to relé agenter oppsett på begge delnett, slik at de kan overføre meldingene til de tiltenkte mottakere.
Sikkerhet
DHCP har vanligvis ikke noen systemer for godkjenning og kan bli offer for tre typer angrep.
- Uautoriserte servere kan gi feil informasjon til klienter, da det ikke er mulig for en klient å identifisere en gyldig DHCP-server på nettverket. Disse rogue DHCP-serverne kan dra nytte av dette og bli brukt i et DOS-angrep for å forhindre riktig serverfunksjon eller i et man-i-midten-angrep for å få informasjon.
- Omvendt kan det også være uautoriserte klienter som får tilgang til ressurser, da det ikke er mulig for serveren å autentisere en DHCP-klient heller. Dette vil tillate kundene å få en IP-adresse fra serveren til tross for ikke å være en gyldig klient ved å maskere seg som en. Nok uautoriserte klienter som gjør dette, kan faktisk eksplodere serverens adressepool og også påvirke den riktige funksjonen til nettverket.
- Den tredje klassifiseringen av angrep er repeterende og uttømmende angrep fra ondsinnede kunder.
For å bekjempe disse angrepene ble Relay Agent Information Option Protocol skapt for å tillate nettverk å knytte autorisasjonskoder til DHCP meldinger. Denne taggen blir brukt til å kontrollere klientens tilgang til serverens ressurser. Siden klientene ikke har noen forbindelse til oppstrømsnettet av reléagenten, vil mangelen på validering ikke hindre at serveren stolte på taggen. Godkjenning av DHCP-meldinger var en annen innovasjon som gjorde det mulig å validere meldinger, selv om dette er blitt utbredt på grunn av problemene vi møter når vi administrerte nøklene til et stort antall klienter. Samlet sett blir disse teknikkene referert til som DHCP Snooping.
Kilde:
- https://www.iplocation.net/dhcp
Du leser nå artikkelserien: TCP/IP nettverk