root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
Cơ chế hoạt động của DHCP Server
I. Nguyên lý hoạt động DHCP
1. Cách thức xin và cấp DHCP
- Gồm 4 bước:
- Bước 1: Client gửi gói Discover (hoạt động theo gói tin Broadcast). Gói Discover dùng để hỏi ai là DHCP.
- Source IP: 0.0.0.0 vì lúc này client chưa có IP
- DesIP: 255.255.255.255
- Source IP: là IP của DHCP.
- Des IP: Ip của client
- Source MAC: của DHCP server
- Des MAC: PC 1
- Bước 4: DHCP gửi về gói ACK. Xác nhận đồng ý cho PC xài
2. Gói tin Broadcast
- Có 2 loại gói tin Broadcast
- Directed broadcast: Broadcast cho 1 mạng cụ thể. Vd: Netmask: 192.168.1.0/24 -> broadcast: 192.168.1.255
- Local broadcast: Khi 1 gói tin được gửi với địa chỉ local broadcast 255.255.255.255 thì tất cả các host đều nhận được hết
- Không bao giờ cho gói tin Local broadcast đi qua
- Còn gói tin Directed Broadcast thì do người quản trị có quyền điều khiển cho qua hay không cho qua. Mặc định trên Router cho phép gói Directed Broadcast đi qua.
Code:
(config-if)# ip helper-addresss X
- Chú ý với câu lệnh:
- Vị trí câu lệnh: Gõ trên interface nhận gói Discover vào
- X: là IP của DHCP
- Chú ý vấn đề Routing(đảm bảo mạng hội tụ để có thể đi xin DHCP giùm được). VD: Khi DHCP trả lời về gói Offer thì source IP: chính là IP của interface nhận gói Discover trên Router(192.168.1.1). Nên DHCP phải nhìn thấy bên trong LAN => Hệ thống mạng phải hội tụ được
3. Spoofing attack
- PC1 ping PC2 với tần số cao 10.000 gói. Lúc này ko biết PC nào chết trước vì khi ping PC2 nó sẽ reley về.
- Lúc này nó ping PC3 với source là PC2, rồi tiếp tục ping PC4 với source pc2… lúc này PC2 sẽ chết vì chịu quá nhiều gói tin relay từ PC3, PC4…
- Thay vì ping từng máy thì PC2 sẽ ping 192.168.1.255(ping nguyên range mạng) với source là PC2. Thì lúc này nguyên 1 lớp mạng sẽ relay về cho PC2. Lúc này PC2 sẽ hứng chịu 1 đợt tấn công từ các host trong cùng mạng vô cùng lớn( 192.168.1.255 các software sẽ tự động add MAC 255 là chữ f, nó ko phải là 1 địa chỉ MAC của 1 IP cụ thể)
II. DHCP relay-agent
1. Cách thức hoạt động:
- Lúc này DHCP server được đặt ở 1 Broadcast domain khác với client
- Nên khi PC gửi gói Discover để tìm DHCP sẽ bị Router chặn lại vì là gói Local Broadcast.
- DHCP relay-Agent:
- Khi PC gửi gói Discover ra đến Router thì nó sẽ nhờ Router chuyển gói Discover tìm xem ai là DHCP bằng cách chuyển gói Broadcast thành gói Unicast(Sử dụng UDP port 67)
- Để cấu hình dùng lệnh sau để Router chuyển gói Discover từ broadcast sang dạng Unicast đến DHCP server
Code:
(config-if)# ip helper-addresss X
- Chú ý với câu lệnh:
- Vị trí câu lệnh: Gõ trên interface nhận gói Discover vào
- X: là IP của DHCP
- Chú ý vấn đề Routing(đảm bảo mạng hội tụ để có thể đi xin DHCP giùm được). VD: Khi DHCP trả lời về gói Offer thì source IP: chính là IP của interface nhận gói Discover trên Router(192.168.1.1). Nên DHCP phải nhìn thấy bên trong LAN => Hệ thống mạng phải hội tụ được
III. Các tình huống
1. DHCP cùng Broadcast domain
- Khi tạo ra nhiều pool trên DHCP thì khi nó lấy pool nào để cấp? tại sao?
- Nó sẽ kiếm pool tương ứng với lớp mạng mà Interface nó nhận gói Discover
2. DHCP khác Broadcast domain
- Khi tạo ra nhiều pool trên DHCP khác broadcast domain thì cấp pool như thế nào?
- Khi R1 dùng Unicast để hỏi R2 thì trong đó nó có trường GIaddr(Getway internet address: trường này sẽ mô tả lớp mạng cần xin). VD: Khi R1 nhận gói Discover từ mạng 192.168.1.0 thì gói tin DHCP sẽ có trương Giaddr với địa chỉ 192.168.1.0/24 thì khi DHCP nhìn vào trường Giaddr để bốc đúng pool
- Thông thương ISP cấp DHCP cho người dùng bằng DHCP nội bộ để nhanh hơn. Tức là dựa vào con BRAS để cấp DHCP xuống cho các user dùng xADSL.
3. Chú ý:
- X nên là IP loopback vì
- Khi DHCP có 2 cách đi ra hạ tầng mạng, khi 1 cổng vật lý chết thì không cấp. Nên trên đây phải gõ 2 lần. Thay vì vầy bạn chọn X là loopback thì bạn chỉ cần gõ 1 lần khi mà 1 interface down thì vẫn còn tiếp tục đi được vì nó sẽ dựa vào Routing để tìm ra Loopback
- Cho dù có 1 link cũng nên dùng Lookback để sau này dễ mở rộng
4. Dynamic asign VLAN
- Khi user cắm dây vào Sw thì Sw sẽ trả lời về 1 message hỏi Username/password ?
- Khi có thông tin rồi thì Sw sẽ gửi Username/Password này cho 1 server là: ACS server(cisco security giống Radius) để kiểm tra Username/password.
- Trên ACS đã cấu hình rằng với username này thì sẽ nhận được VLAN số mấy
- Nó sẽ lệnh cho SW cấp đúng VLAN cho user
=> Do đó user cắm bất kì interface nào của SW thì nó vẫn nhận VLAN đó
- ACS là 1 giải pháp mềm và phải có Account partner của Cisco mới down về xài được. Các bạn down về và cài trên 1 Server(Linux, Windows..)
5. DHCP spoofing
- Cách thức tấn công
- Giả sử 1 client dùng 1 software… để giả lập DHCP server. Lúc này khi client căm vào sẽ có thể nhận được DHCP do attacker dựng. Vì gói tin từ Discover từ attacker qua Sw đến user có thể nhanh hơn là đến DHCP
- Lúc này attacker có thể cấp IP có gateway là nó để capture traffic -> nguy hiểm
- Nguyên nhân có thể do Worm tạo ra để chúng nói chuyện với nhau hoặc do có người phá hoại dựng DHCP giả
- Giải pháp: dùng DHCP snoofing
- Lúc đầu cho tất cả các cổng Sw rơi vào trạng thái Untrust( là trạng thái không nhận gói Offer)
- Lúc này mình quan sát traffic từ DHCP đến client đi vào những cổng nào của SW thì các bạn bật cổng đó thành Trust
6. Các lỗi hay gặp với DHCP:
- Đang xài ngon lành tự nhiên mất IP, dấu chấm than …
- Đặc tính DHCP bị 1 bệnh: DHCP detect được interface WAN down nó sẽ thực hiện triệu hồi IP về (trong 1 vài trường hợp).
- Giải pháp: Tách server DHCP ra riêng không cho nằm trên Router có interface ra WAN.
- Thường bị lỗi ngắt kết nối, chấm than, ko cấp DHCP,...
- Chỉnh lại Interval Rate: AP có chu kì thời gian hỏi thăm user nó quét qua 1 lần. Thì các bạn vào phần advance chỉnh tần số xuống thấp 1 xíu
Các bài lý thuyết trong
Module 4: Configuring IP Connectivity and Routing
- [Chapter 4.1] Cơ chế hoạt động của DHCP Server
- [Chapter 4.2] Static route in ASA Firewall
- [Chapter 4.3] Dynamic Routing in Firewall ASA
- [Chapter 4.4] Dynamic Routing Protocols
- [Chapter 4.5] Dynamic Routing protocols
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Last edited: