一、题目
网络中部署了一台DHCP服务器,但是管理员发现部分主机并没有正确获取到该DHCP服务器所指定的地址,请问可能的原因有哪些?
A. DHCP服务器的地址池已经全部分配完毕
B. 部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址
C. 网络中存在另外一台工作效率更高的DHCP服务器
D. 部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址
二、答案
ABC
三、解析
A选项正确:如果DHCP服务器的地址池中的IP地址已经全部被分配给其他设备,那么新的设备将无法获取到可用的IP地址,因此无法通过DHCP获得有效地址。
B选项正确:部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址(自动私有IP地址分配)。当设备无法通过DHCP获取到有效的IP地址时,它们可能会使用自动私有IP地址分配(APIPA)。APIPA会在某些操作系统中自动生成一个IP地址,位于169.254.0.0范围内,用于设备之间的本地通信。这种情况表明设备无法与DHCP服务器通信或无法获得有效的网络配置信息。
C选项正确:如果网络中存在多个DHCP服务器并且它们配置不一致,其中一个DHCP服务器可能会提供更高效的服务。如果设备连接到了另一台DHCP服务器并获取了配置,它可能不会按照管理员预期的那样使用第一台DHCP服务器提供的地址。
D选项错误:IP地址范围127.0.0.0到127.255.255.255是保留用于主机内部循环(Loopback)测试的地址范围,一般用于本地主机上的自我回环测试,而非用于网络通信。
四、扩展 — DHCP园区网攻击
ARP欺骗攻击 – 伪造网关 :
恶意用户伪造网关发出ARP报文,将错误的网关ARP表项学习给其他网络用户。导致终端的流量被定向到错误的MAC地址,阻碍终端用户访问网关。
排除方法:
- 检查真实网关的MAC地址,并在PC上查看ARP表项。不一致的MAC地址可指示伪造网关攻击。
- 采用交换机上的静态MAC地址绑定或配置ARP网关保护功能,结合DHCP SNOOPING检查ARP报文的合法性。
ARP欺骗攻击 – 欺骗网关:
恶意用户冒充其他终端向网关发送ARP报文,导致网关学习到错误的终端ARP表项。网关将数据发送到错误的MAC地址,致使终端无法访问网关。
排除方法:
- 在PC上检查物理MAC地址,并在网关上查看ARP表项信息。不一致可指示欺骗网关攻击。
- 通过交换机进行终端MAC的静态绑定或使用DHCP Snooping功能解决此问题。
ARP泛洪攻击 :
恶意用户发送大量ARP报文,占用网关设备的ARP表项资源,使得合法用户的ARP表项无法正常学习,导致终端无法访问网关。
排除方法:
- 检查网关ARP表项是否已达到最大值,观察是否持续增加,可判断是否有ARP泛洪攻击。
- 通过配置接入设备的ARP限速功能来解决此问题。
部分终端IP为169.254.X.X的可能原因:
- 可能存在DHCP报文泛洪攻击:
恶意用户向交换机发送大量的DHCP报文,耗尽设备的DHCP处理能力,导致其他合法的DHCP交互无法正常进行,进而阻止终端获取或续租IP地址。 - 可能存在DHCP饿死攻击:
攻击者不断变换物理地址,尝试申请DHCP域中的所有IP地址,导致其他用户无法获取地址。 - 可能存在仿冒DHCP报文攻击:
攻击者通过发送DHCP Request报文冒充用户续租IP地址,导致过期地址无法回收,影响其他主机获取地址。 - 可能存在DHCP服务器仿冒攻击:
攻击者监听DHCP发现报文并向客户端发送伪造信息,如错误网关或IP地址,造成DoS,影响PC访问网关。