21/02/2020

DHCP là gì? Tìm hiểu cách tạo IP động và giải pháp bảo mật DHCP

DHCP là gì?

DHCP viết tắt của Dynamic Host Configuration Protocol, là giao thức tự động cấp phát địa chỉ IP đến các thiết bị trong mạng. Các địa chỉ IP được cung cấp từ giao thức DHCP sẽ cho phép chúng ta truy cập vào internet. Ngoài ra nó cũng đảm bảo không có trường hợp hai hoặc nhiều thiết bị có cùng IP và còn cung cấp các thông tin cấu hình như DNS, subnet mask, default gateway. “Phương thức hoạt động của DHCP là gì?” sẽ được trả lời ở phần tiếp theo.

DHCP LÀ GÌ? DHCP sẽ tự động cấp phát địa chỉ IP cho thiết bị trong mạng
DHCP sẽ tự động cấp phát địa chỉ IP cho thiết bị trong mạng

Cách thức hoạt động của DHCP

DHCP LÀ GÌ? nÓ có cách thức hoạt động không quá phức tạp
DHCP có cách thức hoạt động không quá phức tạp

Cách hoạt động của DHCP về cơ bản khá đơn giản, khi có một thiết bị cần truy cập mạng, nó sẽ gửi yêu cầu từ một router và được router gán cho một địa chỉ IP khả dụng.

Router hoạt động như một máy chủ DHCP đối với các mô hình mạng nhỏ hoặc hộ gia đình. Đối với các mạng lớn hơn một router không thể quản lý số lượng lớn các thiết bị nên sẽ có một máy chủ chuyên dụng để cấp IP.

Chi tiết hơn về cách thức hoạt động của DHCP, khi muốn kết nối với mạng thiết bị sẽ gửi yêu cầu DHCP DISCOVER đến máy chủ. Máy chủ DHCP sẽ tìm địa chỉ IP khả dụng rồi cung cấp cho thiết bị cùng với gói DHCP OFFER.

Sau khi nhận được địa chỉ, thiết bị sẽ phản hồi với máy chủ bằng một gói tin DHCP REQUEST. Đây là lúc chấp nhận yêu cầu, máy chủ sẽ gửi tin báo nhận (ACK) xác nhận thiết bị đã có IP và thời gian sử dụng IP đến khi có địa chỉ mới.

Ưu và nhược điểm khi sử dụng DHCP là gì?

DHCP là gì? Nó giúp công việc quản lý trở nên đơn giản và hiệu quả
DHCP giúp công việc quản lý trở nên đơn giản và hiệu quả

Ưu điểm của DHCP là gì?

  • Giúp các thiết bị kết nối mạng nhanh chóng từ máy tính, laptop, điện thoại, máy tính bảng…
  • Quản lý địa chỉ IP một cách khoa học, tránh trường hợp trùng IP trên nhiều, đảm bảo cấu hình tự động cho mọi thiết bị kết nối mạng.
  • Quản lý địa chỉ IP và các tham số TCP/IP dễ dàng qua các trạm.
  • Các nhà quản trị mạng có thể thay đổi cấu hình và thông số của IP để nâng cấp cơ sở hạ tầng.
  • Các thiết bị có thể di chuyển tự do từ mạng này sang mạng khác và nhận IP mới tự động.

Nhược điểm của DHCP là gì?

  • Việc sử dụng IP động của DHCP không phù hợp với các thiết bị cố định và cần truy cập liên tục như máy in, file server.
  • DHCP thường chỉ được sử dụng tại các hộ gia đình hoặc mô hình mạng nhỏ.

Kiến trúc DHCP là gì?

Hãy cùng Mắt Bão tìm hiểu qua về 4 khái niệm:

  • DHCP client
  • DHCP server
  • DHCP relay agents
  • Binding
  • DHCP Lease
DHCP là gì? Quá trình tương tác giữa DHCP Client và server
Quá trình tương tác giữa DHCP Client và server

DHCP client là gì?

Là một thiết bị bất kì có khả năng kết nối internet và giao tiếp với máy chủ DHCP như điện thoại thông minh, máy tính, laptop, máy in….

DHCP server là gì?

Là thiết bị cấp phát địa chỉ IP.

DHCP relay agents là gì?

Là thiết bị trung gian để chuyển tiếp yêu cầu giữa DHCP client DHCP server. DHCP relay agents thường được dùng trong các hệ thống mạng lớn và phức tạp, không phổ biến ở các mạng thông thường.

Binding

Là một tập hợp các thông tin cấu hình có ít nhất một địa chỉ IP được dùng bởi một DHCP client, các kết nối được quản lý bởi máy chủ DHCP.

DHCP Lease là gì?

Là khoảng thời gian thiết bị giữ nguyên địa chỉ IP trước khi nó được thay đổi và gia hạn. Cụ thể, mỗi địa chỉ IP sẽ có một vòng đời nhất định. Khi hết thời gian này nó sẽ được cấp một địa chỉ mới.

Ví dụ: địa chỉ IP có vòng đời 24 giờ. Trong khoảng thời gian này dù bạn ngắt kết nối mạng và kết nối lại, địa chỉ IP vẫn không đổi. Chỉ sau khi hết 24 giờ, một địa chỉ mới sẽ được cấp phát và gia hạn.

Trường hợp gặp các vấn đề với địa chỉ IP, bạn có thể yêu cầu cấp mới mà không cần chờ hết vòng đời. Các thiết lập này dễ dàng tìm thấy trong cài đặt mạng trên máy tính hoặc thiết lập wifi trên điện thoại.

Vai trò của DHCP trong một hệ thống mạng là gì?

DHCP là gì? đóng vai trò tự động gán địa chỉ IP cho thiết bị trong mạng
DHCP đóng vai trò tự động gán địa chỉ IP cho thiết bị trong mạng

DHCP giúp công tác quản trị hệ thống mạng được tự động, tiện lợi và tập trung. Bằng cách tự động gán địa chỉ IP cho thiết bị khi truy cập internet, tiết kiệm rất nhiều thời gian so với cấu hình thủ công, giảm rủi ro phát sinh lỗi.

Tại sao sử dụng dịch vụ DHCP?

DHCP đóng vai trò tự động cấp IP và cung cấp các thông số truy cập mạng. Từ đó, giúp công tác quản trị trở nên đơn giản hơn rất nhiều. Giảm tối đa khả năng phát sinh lỗi do cấu hình thủ công.

Địa chỉ IP động đặc biệt là gì

Automatic private IP Addressing (APIPA) là đặc trưng của Microsoft Windows. Nó cho phép gán một dải địa chỉ IP tự động trên các máy Client. Dải này có giá trị từ 169.254.0.0 đến 169.254.255.255 khi DHCP Server không được phép cấp phát IP cho các máy Client.

Cách thức cấp phát địa chỉ IP động

Dịch vụ DHCP sẽ thiết lập hợp đồng thuê địa chỉ IP và gia hạn hợp đồng cho thuê nhằm cấp địa chỉ cho các máy Client.

Xung đột IP với DHCP là gì?

DHCP gặp lỗi có thể dẫn đến lỗi xung đột IP
DHCP gặp lỗi có thể dẫn đến lỗi xung đột IP

DHCP có thể giảm rủi ro gặp lỗi trùng IP bằng cách tự động gán địa chỉ IP cho các thiết bị. Tuy nhiên, trong trường hợp bản thân DHCP gặp lỗi cũng là nguyên nhân dẫn đến lỗi xung đột IP.

Cách xử lý lỗi xung đột IP và DHCP

Trong trường hợp này, người quản trị chỉ cần giải phòng IP bị trùng. Nếu vấn đề không được giải quyết chỉ cần khởi động lại router. Khi đã dùng cả hai cách nhưng vẫn không giải quyết được, có thể vấn đề không nằm ở phạm vi router hoặc DHCP.

Các thông điệp DHCP là gì?

DHCP tồn tại một số những thông điệp. Hãy cùng Mắt Bão tìm hiểu kỹ hơn về các thông điệp này:

  • DHCP Discover
  • DHCP Offer
  • DHCP Request
  • DHCP Acknowledge
  • DHCP Nak
  • DHCP Decline
  • DHCP Release
Các thông điệp khi giao tiếp giữa DHCP client và server
Các thông điệp khi giao tiếp giữa DHCP client và server

DHCP Discover

DHCP Client là một gói được gửi đến DHCP server từ một thiết bị Client khi muốn truy cập mạng để yêu cầu thông tin địa chỉ IP.

DHCP Offer

DHCP Offer là gói tin chứa địa chỉ IP và thông tin cấu hình TCP/IP bổ sung. Nó được DHCP server gửi về cho Client sau khi nhận được DHCP Discover.

DHCP Request

DHCP Request là gói được DHCP client phản hồi với máy chủ sau khi nhận được DHCP Offer để thể hiện sự chấp nhận đối với địa chỉ IP.

DHCP Acknowledge

DHCP Acknowledge là một gói được DHCP server gửi đến cho Client để xác thực việc chấp nhận DHCP Request và định hướng các tham số tùy chọn cho phép Client tham gia mạng TCP/IP và hoàn thành hệ thống khởi động.

DHCP Nak

Trong trường hợp địa chỉ IP không được Client sử dụng vì không còn giá trị hoặc đã được dùng bởi một máy khác. DHCP server sẽ gửi một gói DHCP Nak và Client phải tiến hành quá trình thuê bao lại.

DHCP Nak chính là một gói được gửi từ DHCP server đến Client khi nó nhận được yêu cầu từ một địa chỉ IP không có giá trị theo các Scope mà nó được định cấu hình.

DHCP Decline

Trường hợp DHCP Client quyết định tham số thông tin được đề nghị nào không có giá trị nó sẽ gửi một gói DHCP Decline đến các server và Client phải bắt đầu tiến trình thuê bao lại.

DHCP Release

Là một gói được DHCP Client gửi đến một server để giải phóng địa chỉ IP và xóa bất cứ thuê bao nào đang tồn tại.

Các tấn công có thể xảy ra với DHCP là gì?

DHCP có khả năng bị tấn công khi không được bảo mật
DHCP có khả năng bị tấn công khi không được bảo mật

Có 2 tình huống DHCP bị tấn công đó là khi máy trạm DHCP client là bất hợp pháp và khi máy chủ DHCP server là bất hợp pháp.

Khi máy trạm DHCP client là bất hợp pháp

Trong trường hợp này, client bị thỏa hiệp sẽ gửi yêu cầu cấp IP một cách liên tục về server. Lúc này, máy chủ sẽ tự động cấp địa chỉ IP cho các client không xác thực đến khi không còn địa chỉ nào.

Điều này sẽ dẫn đến việc cạn kiệt địa chỉ dành cho các máy trạm hợp pháp, làm trì trệ hệ thống mạng và nhiều máy trạm không truy cập được vào mạng. Đây là kiểu tấn công đơn giản, dễ thực hiện, chỉ cần băng thông và không tốn nhiều thời gian.

Khi máy chủ DHCP server là bất hợp pháp

Trường hợp kẻ tấn công phá võ tường bảo vệ mạng, hắn sẽ có thể kiểm soát DHCP server và điều khiển hệ thống mạng. Dưới đây là 3 kiểu tấn công khi máy chủ DHCP server là bất hợp pháp.

  • DoS hệ thống mạng: kẻ tấn công sẽ thiết lập một dải IP và subnet mask để khiến máy trạm không thể đăng nhập vào hệ thống dẫn đến tình trang DoS trong mạng.
  • DNS redirect: bằng cách thay đổi DNS các máy trạm sẽ bị dẫn đến những trang web giả, nguy hiểm. Các website này có thể chứa mã độc, virus… đánh cắp thông tin người dùng.
  • Man-in-the-middle: đây là kiểu tấn công mà cổng mặc định sẽ được biến đổi về máy của kẻ tấn công. Từ đó, sao chép và đánh cắp toàn bộ thông tin người dùng, toàn bộ thông tin, yêu cầu từ Client gửi đến Gateway mặc định sẽ chuyển đến máy của chúng trước khi trở về.

Với kiểu tấn công này, kẻ gian chỉ có thể xem nội dung của gói thông tin được gửi ra ngoài mạng. Các nội dung gửi cho máy trạm client từ bên ngoài mạng sẽ không thể xem được.

Các giải pháp bảo mật DHCP là gì?

Bảo mật DHCP là bước quan trọng không được bỏ qua
Bảo mật DHCP là bước quan trọng không được bỏ qua

Tùy vào từng loại tấn công khác nhau mà có các giải pháp bảo mật DHCP riêng, phù hợp. Hãy cùng Mắt Bão điểm qua một số giải pháp bảo mật DHCP dưới đây:

Với tấn công bằng cách sử dụng DHCP client bất hợp pháp

Đối với kiểu tấn công này, có thể dùng những switch có khả năng bảo mật cao. Nó giúp hạn chế số lượng địa chỉ MAC được dùng trên một cổng. Cách này giúp hạn chế việc trong cùng một khoảng thời gian. Cùng một cổng có quá nhiều địa chỉ MAC được sử dụng.

Trường hợp số lượng địa chỉ vượt quá mức quy định, cổng sẽ bị đóng lại, ngừng phục vụ và chỉ hoạt động trở lại theo thời gian mà quản trị viên đã thiết lập.

Với kiểu tấn công Man-in-the-middle

Khi gặp kiểu tấn công Man-in-the-middle, ta có thể dùng các switch có tính năng bảo mật DHCP snooping cao. Bằng cách này sẽ hạn chế kết nối DHCP đến các cổng không đáng tin, chỉ các cổng được tin tưởng mới được cho phép gói tin DHCP response hoạt động và chỉ cổng này được quản trị viên cho kết nối đến server thật.

Một số giải pháp bảo mật DHCP server thường dùng khác

  • Sử dụng hệ thống tập tin NTFS để lưu trữ dữ liệu an toàn hơn
  • Cập nhật thường xuyên các phiên bản mới cho phần mềm và windows
  • Quét virus thường xuyên cho hệ thống
  • Loại bỏ các phần mềm hoặc dịch vụ không cần thiết
  • Sử dụng tường lửa cho máy chủ DHCP
  • Bảo mật vật lý cho máy chủ

DHCP mang đến nhiều tiện ích đáng kể song không thể phủ nhận những hạn chế nhất định. Một trong những ưu tiên hàng đầu khi sử dụng DHCP chính là đừng bỏ qua những bước bảo mật. Hy vọng của “Mắt Bão nhà cung cấp dịch vụ thuê máy chủ uy tín nhất” với những thông tin được tổng hợp và chia sẻ trên đây sẽ hữu ích với các bạn.

Các bài viết có nội dung liên quan:


22/05/2020


Thông tin tác giả


Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai.