TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.

HCM
KHOA CÔNG NGHỆ THÔNG TIN
----------

TÊN NHÓM: 404 NOT FOUND

TÊN ĐỀ TÀI: Chủ đề Triển khai và quản lý dịch vụ DHCP

BÀI TẬP DỰ ÁN MÔN: MẠNG MÁY TÍNH

TP. HCM, NĂM 2022

1
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP. HCM
KHOA CÔNG NGHỆ THÔNG TIN
----------

TÊN NHÓM: 404 NOT FOUND

TÊN ĐỀ TÀI: Triển khai và quản lý dịch vụ DHCP

BÀI TẬP NHÓM CUỐI KỲ MÔN: MẠNG MÁY TÍNH

GVHD:
Lớp danh nghĩa: 12DHTH01
TKB chính thức: Thứ 7, tiết 4-6
NHÓM THỰC HIỆN:
1. Nguyễn Ngọc Quân - 2001210779
2. Phạm Thị Yến Nhi - 2001210713
3. Hà Phong Phú - 2001190736

TP. HCM, NĂM 2022

2
 Đánh giá Giảng
mức độ viên
Họ và tên MSSV Công việc đảm nhận
hoàn thiện đánh
(%) giá
Nguyễn Ngọc Nguyên tắc hoạt động
2001210779 100
Quân
Cài đặt và cấu hình
Hà Phong Phú 2001190736 95
dịch vụ DHCP
Phạm Thị Yến
2001210713 Silde báo cáo 100
Nhi
BẢNG ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN CÔNG VIỆC NHÓM

MỤC LỤC
1.Giới thiệu dịch vụ DHCP.......................................................................................................1

2.Cơ chế hoạt dộng của DHCP................................................................................................1

3. Cơ chế tự động refresh lại thời gian đăng ký (lease time).................................................5

4. DHCP Replay Agent là gì ?...................................................................................................7

6. Cài đặt và cấu hình DHCP trong window..........................................................................12

7. Phân biệt sự khác nhau giữa các level như server, scope, class và reserved client trong
dịch vụ DHCP.........................................................................................................................42

8. Backup Database DHCP.....................................................................................................45

9. Restore Database DHCP....................................................................................................47

10. Các kiểu tấn công có thể xảy ra đối với DHCP................................................................51

11. Bảo mật cơ bản cho DHCP Server...................................................................................54

3
 Mở đầu
Ngày nay, sự phát triển công nghệ thông tin đang diễn ra mạnh mẽ, các
máy tính càng cần thiết phải kết nối với nhau để thực hiện các công việc nội
bộ. cũng như liên kết các cơ quan, xí nghiệp, cộng đồng người lại với nhau,
phục vụ đời sống con người hiệu quả cao. Mà hiện nay bộ giao thức TCP/IP
là một bộ các giao thức truyền thống cài đặt giao thức mà Internet và hầu hết
các mạng máy tính thương mại đang chạy trên đó. Các máy tính trong mạng
nhận ra nhau nhờ vào địa chỉ IP mà trước đó người quản trị mạng phải gán
cho từng máy tính một. Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa
chỉ IP duy nhất để truy cáp mạng và sử dụng các tài nguyên.
DHCP tập trung việc quản lý địa chỉ IP ở các máy tính trung tâm chạy
chương trinh DHCP. Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy
tính nào trên mạng, DHCP cho phép gán tự động. Để khách có thể nhận địa
chỉ IP từ máy chủ DHCP, ta khai báo cấu hình để khách "nhận địa chỉ tự động
từ một máy chủ". Tùy chọn này xuất hiện trong vùng khai báo câu hình
TCP/IP của đa số hệ điều hành. Một khi tùy chọn này được thiết lập, khách có
thể "thuê" một địa chỉ IP từ máy chủ DHCP bất cứ lúc nào. Phải có ít nhất
một máy chủ DHCP trên mạng. Sau khi cài đặt DHCP, ta tạo một phạm vi
DHCP (scope), là vùng chứa các địa chỉ IP trên máy chủ, và máy chủ cung
cấp địa chỉ IP trong vùng này.

DHCP là một thuận lợi rất lớn đối với người điều hành mạng. Nó làm
yên tâm về các vấn đề phát sinh khi phải khai báo cấu hình thủ công. DHCP
tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc.
Nó tự động gán lại các địa chỉ chưa được sử dụng. DHCP cho thuê địa chỉ
trong một khoàng thời gian, có nghĩa là những địa chỉ này sẽ còn dùng được
cho các hệ thống khác, ta hiếm khi bị hết địa chỉ. DHCP tự động gán địa chỉ
IP thích hợp với mạng con chứa trạm này. Cũng vậy, DHCP tự động gán địa
chỉ cho người dùng di động tại mạng con họ kết nối.

4
 DHCP

(Dynamic Host Configuration Protocol)

1.Giới thiệu dịch vụ DHCP

DHCP được viết tắt từ cụm từ Dynamic Host Configuration Protocol (có
nghĩa là Giao thức cấu hình máy chủ). DHCP có nhiệm vụ giúp quản lý
nhanh, tự động và tập trung việc phân phối địa chỉ IP bên trong một mạng.
Ngoài ra DHCP còn giúp đưa thông tin đến các thiết bị hợp lý hơn cũng như
việc cấu hình subnet mask hay cổng mặc định. Giao thức DHCP sẽ cung cấp
các địa chỉ IP sẽ cho phép chúng ta truy cập vào internet. Đặc biệt, mục đích
quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại cùng sử dụng
một địa chỉ IP.

2.Cơ chế hoạt dộng của DHCP

Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình
tương tác giữa DHCP client và server diễn ra theo 4 bước sau đây :
a. IP lease request
b. IP lease offer
c. IP lease selection
d. IP lease acknowledgement

Có thể tóm tắt các bước trên như sau :

IP Lease Request
Đầu tiên, client sẽ broadcast một message tên là DHCP DISCOVER, vì
client lúc này chưa có địa chỉ IP cho nên nó sẽ dùng một địa chỉ
source(nguồn) là 0.0.0.0 và cũng vì client không biết địa chỉ của DHCP server
nên nó sẽ gửi đến một địa chỉ broadcast là 255.255.255.255. Lúc này gói tin
DHCPDISCOVER này sẽ broadcast lên toàn mạng. Gói tin này cũng chứa
một địa chỉ MAC (Media Access Control - là địa chỉ mà mỗi một network
adapter (card mạng) sẽ được nhà sản xuất cấp cho và là mã số để phân biệt
các card mạng với nhau) và đồng thời nó cũng chứa computer name của máy
client để DHCP server có thể biết được client nào đã gởi yêu cầu đến.

1
IP Lease Offer
Nếu có một DHCP hợp lệ (nghĩa là nó có thể cấp địa chỉ IP cho một
client) nhận được gói tin DHCPDISCOVER của client thì nó sẽ trả lời lại
bằng một gói tin DHCPOFFER, gói tin này đi kèm theo những thông tin sau:
+ MAC address của client
+ Một IP address cấp cho (offer IP address)
+ Một subnet mask
+ Thời gian thuê (mặc định là 8 ngày)
+ Địa chỉ IP của DHCP cấp IP cho client này
Lúc này DHCP server sẽ được giữ lại một IP đã offer (cấp) cho client để
nó không cấp cho DHCP client nào khác
DHCP client chờ một vài giây cho một offer, nếu nó không nhận một
offer nó sẽ rebroadcast (broadcast gói DHCPDISCOVER) trong khoảng thời
gian là 2-, 4-, 8- và 16- giây, bao gồm một khoảng thời gian ngẫu nhiên từ 0 -
1000 mili giây.
Nếu DHCP client không nhận một offer sau 4 lần yêu cầu, nó sử dụng một địa
chỉ IP trong khoảng 169.254.0.1 đến 169.254.255.254 với subnet mask là
255.255.0.0. Nó sẽ sử dụng trong một số trong khoảng IP đó và việc đó sẽ
giúp các DHCP client trong một mạng không có DHCP server thấy nhau.
DHCP client tiếp tục cố gắng tìm kiếm một DHCP server sau mỗi 5 phút.

2
IP Lease Selection
DHCP client đã nhận được gói tin DHCPOFFER thì nó sẽ phản hồi
broadcast lại một gói DHCPREQUEST để chấp nhận cái offer đó.
DHCPREQUEST bao gồm thông tin về DHCP server cấp địa chỉ cho nó. Sau
đó, tấc cả DHCP server khác sẽ rút lại các offer (trường hợp này là trong
mạng có nhiều hơn 1 DHCP server) và sẽ giữ lại IP address cho các yêu cầu
xin IP address khác.

3
IP Lease Acknowledgement
DHCP server nhận được DHCPREQUEST sẽ gởi trả lại DHCP client
một DHCPACK để cho biết là đã chấp nhận cho DHCP client đó thuê IP
address đó. Gói tin này bao gồm địa chỉ IP và các thông tin cấu hình khác
(DNS server, WINS server... ). Khi DHCP client nhận được DHCPACK thì
cũng có nghĩa là kết thúc quá trình "tìm kiếm và xin sỏ" của mình.
(Tấc cả việc trao đổi thông tin giữa một DHCP server và DHCP client sẽ sử
dụng UDP port là 67 và 68 (User Datagram Protocol). Một vài switch sẽ
không cho phép các gói tin trao đổi theo kiểu broadcast đi qua, cho nên bạn
cần phải config những switch này để được broadcast qua những port này.

4
3. Cơ chế tự động refresh lại thời gian đăng ký (lease time)
Bây giờ ta coi như là DHCP client đã đăng ký được một IP address rồi.
Theo mặc định của DHCP server thì mỗi IP lease chỉ được có 8 ngày. Nếu
theo như mặc định (8 ngày) thì một DHCP client sau một khoảng thời gian là
50% (tức là 4 ngày) nó sẽ tự động xin lại IP address với DHCP mà nó đã xin
ban đầu. Nó DHCP client lúc này sẽ gởi một sẽ gởi một DHCPREQUEST
trực tiếp (unicast) đến DHCP server mà nó đã xin ban đầu.

5
 DHCP DISCOVER để update địa chỉ IP của nó. Vào lúc này, nó không
kiếm tới DHCP server ban đầu cho nó thuê nữa mà nó là sẽ chấp nhận bất cứ
một DHCP server nào khác.

Nếu thời gian đăng ký đã hết, thì client sẽ ngay lập tức dừng lại việc sử dụng
IP address đã đăng ký đó. Và DHCP client sau đó sẽ bắt đầu tiến trình thuê
một địa chỉ như ban đầu.

Chú ý: khi bạn khởi động (restart) lại DHCP client thì nó sẽ tự động renew lại
IP address mà trước khi nó shut down.

Vậy nếu khi ta có một sự thay đổi về cấu hình trên DHCP server mà ta
muốn nó có tác dụng đến các client ngay lập tức thì phải làm sao?, chẳng lẽ
phải đợi nó hết 50% à? (như vậy thì hơi bị... mỏi cổ). Ta có thể renew một IP
lease "bằng tay" đối với DHCP client như sau: vào run, đánh command -->
đánh lệnh là ipconfig /renew. Khi đó nó sẽ gởi một DHCP REQUEST đến
DHCP server để update thông tin về cấu hình, và thời gian đăng ký mới. Và
ngược lại, nếu ta không muốn đăng ký cái IP address này nữa ta có thể đánh
lệnh ipconfig /release. Lúc này, nó sẽ gởi đến DHCP server một
DHCPRELEASE. Sau lệnh này, client sẽ không còn liên lạc với network
bằng TCP/IP nữa.

6
4. DHCP Replay Agent là gì ?
DHCP Replay Agent là một máy tính hoặc một Router được cấu hình để
lắng nghe và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ
subnet này sang subnet khác.

Dịch vụ Routing & Remote Access của Windows Server 2003 hỗ trợ
tính năng cấu hình như một DHCP Relay Agent nên chúng ta không cần cài
thêm chương trình khác, mà chỉ cần kích hoạt tính năng này trong Routing &

7
Remote Access. Để hiểu lý do phải sử dụng DHCP Relay Agent Microsoft
đưa ra các chiến lược sau:
• Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và
không cần thiết, việc bảo trì cũng như quản lý rất khó khan
Có thể cấu hình Router để các tín hiệu Broadcast đi qua nhưng việc
này sẽ gây những rắc rối khi hệ thống mạng gặp trục trặc. Thêm nữa là lưu
lượng các gói tín Broadcasd quá nhiều sẽ làm tắt nghẽn hệ thống mạng.
5. Qui trình xử lý thông tin từ DHCP Relay Agent:

b1. Client Broadcasts gói tin DHCP Discover trong nội bộ mạng.

b2. DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và
chuyển đến DHCP server bằng tín hiệu Unicast.

8
b3. DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói
DHCP Offer

b4. DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client

b5. Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin
DHCP Request.

9
b6. DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển
đến DHCP server cũng bằng tín hiệu Unicast

10
b7. DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent
một gói DHCP ACK.

b8. DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client. Đến đây
là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP Relay
Agent.

11
6. Cài đặt và cấu hình DHCP trong window
Một máy tính sau khi cài đặt và cấu hình dịch vụ DHCP thì máy tính đó
trở thành DHCP server.Điều kiện để cài đặt là máy tính này phải chạy hệ điều
hành Windows Server.
Các máy tính trong hệ thống mạng,sau khi được cấu hình nhận địa chỉ
IP động từ DHCP server gọi là DHCP client. Ở đây DHCP được cài đặt và
cấu hình trên Windown Server 2016

12
Server Manager  Dashboard  Add roles and features

13
Nhấn Next

14
15
16
17
Chọn Add Features

18
Chọn Next

19
20
21
Chọn Install để tiến hành cài đặt

22
Thông báo install hoàn tất.Nhấn Close.

23
Trong phần Tools.Chọn DHCP.

24
Nhấn đúp chọn Ipv4.Nhấn chuột phải vào Ipv4.Chọn New Scope.

25
26
Chọn Next

27
Trong hộp thoại Scope Name, bạn nhập vào tên và chú thích, giúp cho việc
nhận diện ra Scope này. Sau đó nhấn chọn Next.

28
Hộp thoại IP Address Range xuất hiện: Bây giờ ta xét một mô hình mạng
192.168.1.1/24 mà tại đây ta đã dựng một DHCP Server và tiến hành cấu hình
cho
DHCP Server này cấp phát IP cho các máy Client trong cùng mạng với nó
bạn nhập vào địa chỉ bắt đầu và kết thúc của danh sách địa chỉ cấp phát. Sau
đó bạn chỉ định Subnet mask bằng cách cho biết số bit 1 hoặc nhập vào chuỗi
số. Nhấn chọn Next.

29
Trong hộp thoại Add Exclucions, bạn sẽ cho biết những địa chỉ nào sẽ bị loại
ra khỏi nhóm địa chỉ đã chỉ định ở trên. Các địa chỉ loại ra này được dùng để
đặt cho các máy tính dùng địa chỉ tĩnh hoặc để dành cho mục đích nào đó. Để
loại một địa chỉ duy nhất bạn chỉ cần cho biết một địa chỉ trong ô Start IP
Address và nhấn add. Để loại một nhóm địa chỉ bạn cho biết chỉ số bắt đầu và
kết thúc của nhóm đó trong Start IP Address và End IP Address, sau đó nhấn
Add. Nút Remove dùng để hủy một hoặc một nhóm các địa chỉ ra khỏi danh
sách trên. Chọn Next.

30
Trong hộp thoại Lease Duration tiếp theo, bạn sẽ cho biết thời gian các máy
trạm có thể sử dụng địa chỉ IP này. Theo mặc định, một máy Client sẽ cố làm
mới lại địa chỉ khi đã sử dụng được phân nữa thời gian cho phép mặc định là
8 ngày. Bạn có thể chỉ định lượng thời gian khác tùy theo nhu cầu. Ở đây ta
chọn 1 ngày.Nhấn Next để tiếp tục.

31
Hộp thoại Configure DHCP Option xuất hiện. Bạn có thể đồng ý để cấu hình
các tùy chọn phổ biến(chọn Yes, I want to configure these options now) hoặc
không đồng ý, để việc thiết lập này sau(chon No, I will to configure these
options later). Ta chọn mục đồng ý và click Next.

32
33
Trong hộp thoại Router(Default Gateway), bạn cho biết địa chỉ IP của default
gateway mà các máy DHCP Client sẽ sử dụng và nhấn Add. Sau đó chọn
Next.

34
Trong hộp thoại Domain Name and DNS Server,bạn sẽ cho biết tên Domain
mà các máy Client DHCP sẽ sử dụng, đồng thời cũng cho biết địa chỉ IP của
DNS server dùng phân giải tên. Sau khi đã cấu hình xong, nhấn Next để tiếp
tục.

35
Trong hộp thoại WINS Server tiếp theo, bạn có thể cho biết địa chỉ củaWIN
Server chính và phụ dùng phân giải các tên NetBIOS thành địa chỉ IP. Sau đó
nhấn chọn Next. Ở đây ta bỏ qua bước này và click Next để tiếp tục.

36
Tiếp theo hộp thoại Activate Scope xuất hiện, hỏi bạn có muốn kích hoạt
Scope này hay không. Scope chỉ có thể cấp địa chỉ cho các máy Client khi
được kích hoạt. nếu muốn định cấu hình thêm các thông tin tùy chọn cho
Scope thì chưa nên kích hoạt bây giờ. Sau khi chọn xong ta click Next.

37
Chọn Finish để hoàn tất cài đặt.

38
39
Đây là màn hình sau khi cấu hình địa chỉ IP cấp cho các DHCP Client.

Như vậy ta đã hoàn tất xong việc cấu hình DHCP

Bây giờ bật Client lên và chuyển IP của máy này sang dạng Obtain an IP
Address automatically

Công việc này đồng nghĩa với máy client sẽ không có địa chỉ IP và hiển nhiên
cứ 5 phút một lần Windows sẽ tự động broadcasts đến toàn bộ các máy trong
hệ thống mạng để xin địa chỉ IP nếu tìm thấy máy DHCP Server và được cấp
IP thì nó sẽ lấy IP đó sử dụng và ngược lại không tìm được thì nó sẽ tự gán
cho mình một IP tạm thời

Tiếp theo ta cấu hình DHCP server luôn cập nhập động các resource record.
Từ DHCP server , right click chọn properties.

40
41
Sau đó chọn DNS rồi check vào Always dynamically update….và
Dynamically update DNS.
Rồi chọn OK.

7. Phân biệt sự khác nhau giữa các level như server, scope, class
và reserved client trong dịch vụ DHCP
+ Server level : các option khai báo ở cấp độ server sẽ được áp đặt tới tất cả
các DHCP client của DHCP Server. Đây là option có độ ưu tiên thấp nhất.

42
+ Scope level : các option khai báo ở cấp độ scope sẽ được áp đặt tới tất cả
các DHCP client của riêng scope đó mà thôi, các scope khác sẽ không chịu
ảnh hưởng. Đây là option có độ ưu tiên cao hơn option ở cấp độ server level.

43
+ Class level : Các option khai báo ở cấp độ class level sẽ được áp đặt tới
những thành viên của class. Độ ưu tiên của các option này cao hơn option ở
cấp độ scope level.

44
+ Reversed client level : Các option ở cấp độ này sẽ chỉ được áp đặt đến một
DHCP client mà thôi. Đây là option có độ ưu tiên cao nhất. Nó sẽ ghi đè tất cả
các option khác nếu có conflict (xung đột level) xảy ra.

45
8. Backup Database DHCP

1. Vào Start  Run gõ lệnh dhcpmgmt.msc

2. Chuột phải vào DHCP Server --> Chọn Backup

3. Chỉ đường dẫn để lưu trữ Database của DHCP Server

46
4. Nhấn OK để hoàn tất backup

9. Restore Database DHCP

1. Vào Start --> Run gõ lệnh dhcpmgmt.msc

2. Chuột phải vào DHCP Server --> chọn Restore

47
3. Chỉ đường dẫn đến thư mục đã backup dhcp trước đó  Chọn OK

48
4. Hệ thống sẽ yêu cầu stop và sau đó sẽ restart lại dịch vụ DHCP --> OK

49
5. Refesh lại DHCP, tiếp đến chuột phải vào DHCP Server chọn Reconcile
All Scopes để đồng bộ hóa giữa Database và Registry.

50
Đến đây công việc khôi phục Database trên DHCP đã hoàn thành.

10. Các kiểu tấn công có thể xảy ra đối với DHCP
Như chúng ta đã biết, hầu hết dịch vụ DNS và DHCP mặc định không được
bảo mật. Lợi dụng điều này, các attacker có thể tiến hành tấn công các máy
chủ chạy dịch vụ DNS và DHCP. Đối với dịch vụ DHCP thì các kiểu tấn
công mà attacker có thể thực hiện đó là :
Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP
có thể cấp cho client

51
Khi DHCP Server nhận được một DHCP request từ client, DHCP Server sẽ
cung cấp cho client đó một địa chỉ IP nằm trong dãy IP mà nó được phép cấp.
Vì không có cơ chế chứng thực trong quá trình này, các attacker có thể dễ
dàng tấn công làm ngưng dịch vụ này trên DHCP Server.
Attacker có thể thực hiện được việc này bằng cách gửi một lượng lớn DHCP
request với các giá trị MAC address thay đổi liên tục đến DHCP Server. Khi
DHCP Server nhận được các request với các MAC address khác nhau, DHCP
sẽ cấp một giá trị IP ứng với mỗi request đó. Vì số lượng địa chỉ IP có giới
hạn nên chỉ cần một lượng request tương đối là attacker có thể đăng ký hết số
lượng IP này trên DHCP. Kết quả là các request hợp lệ của client sẽ không
được DHCP Server cung cấp IP vì lúc này dịch vụ DHCP sẽ không còn phục
vụ cho người đến sau. Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng
nhất mà attacker có thể thực hiện. Điều đáng nói ở đây là kẻ tấn công chỉ cần
rất ít thời gian và bandwidth là có thể thực hiện được việc tấn công này.
Tuy nhiên, kiểu tấn công này có thể khắc phục được bằng cách sử dụng các
switch có tính năng bảo mật của Cisco. Các switch này sẽ giới hạn số lượng
MAC address có thể sử dụng trên một port. Mục đích là để ngăn chặn việc
trong một khoản thời gian giới hạn, một port của nó có quá nhiều MAC
address được phép sử dụng. Nếu vượt
qua quy định này, port đó sẽ shutdown ngay lặp tức. Thời gian để port này có
thể hoạt động lại tùy thuộc vào giá trị mặc định hoặc do người quản trị mạng
thiết lặp. Bằng cách này, thiết bị này có thể ngưng kiểu tấn công vét cạn đối
với dịch vụ DHCP.

Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server
giả mạo

52
Như chúng ta đã biết, DHCP không yêu cầu chứng thực trong quá trình cấp
phát IP cho client và DHCP client không biết địa chỉ IP của DHCP Server
trong quá trình xin cấp IP. Lợi dụng việc này, attacker có thể xây dựng một
DHCP Server giả mạo (Rogue DHCP Server), mục đích là cung cấp địa chỉ
Default Gateway giả mạo (địa chỉ IP này là của attacker hoặc một máy tính
nào đó được đặt dưới sự kiểm soát của attacker) cho DHCP client. Việc này
cho phép attacker có thể xem trộm nội dung gói tin. Các bước tiến hành như
sau :

1. Đầu tiên, attacker xây dựng một DHCP giả mạo với đầy đủ các thông số để
cấp cho client.

2. Khi một DHCP client broadcast một gói tin DHCPDISCOVERY, cả hai
DHCP hợp lệ và DHCP giả mạo cùng gửi gói tin DHCPOFFER đến client.

3. Client sẽ tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp
lệ đến trước thì quá trình tấn công theo dạng này sẽ thất bại. Do đó để chắc
chắn rằng client sẽ nhận được gói tin do DHCP Server giả mạo cấp, attacker
thường tiến hành tấn công từ chối dịch vụ theo kiểu “vét cạn” đối với DHCP
Server thật.

4. Trong gói tin response đến client, địa chỉ Default Gateway lại chỉ về máy
tính cho attacker kiểm soát.

5. Sau đó, khi nào client gửi gói tin cho mạng bên ngoài (thường là internet).
Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway
giả mạo và nội dung bên trong bị xem trộm.

Sau khi xem trộm nội dung, gói tin sẽ được forward đến Default Gateway
thật. Nhưng khuyết điểm của kiểu tấn công này là, attacker chỉ có thể xem
trộm gói tin theo chiều từ client gửi đi mà thôi, chiều ngược lại từ bên ngoài
gửi đến client thì attacker hoàn toàn không biết.

Để khắc phục kiểu tấn công này, các thiết bị switch của Cisco cung cấp tính
năng bảo mật dành cho DHCP. Tính năng này được gọi là DHCP snooping,
bằng cách chỉ cho kết nối đến DHCP trên một hoặc một số port nhất định mà
thôi. Các port này được gọi là trusted port, chỉ có những port này mới cho
phép gói tin DHCP response hoạt động. Port này được người quản trị mạng
kết nối đến DHCP Server thật trong mạng. Mục đích là ngăn chặn không cho
DHCP giả mạo hoạt động trên những port còn lại.

53
Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả
mạo

Đây là kiểu tấn công rất thông dụng của phương pháp man-in-the-middle.
Thay vì giả mạo địa chỉ Default Gateway, DHCP Server giả mạo sẽ cung cấp
địa chỉ IP của DNS Server giả. Trên DNS Server này chứa các thông tin phân
giải tên đã bị “nhiễm bẩn” (DNS Server nằm trong sự kiểm soát của attacker).

11. Bảo mật cơ bản cho DHCP Server

- Bảo mật về mặt vật lý cho các máy chủ DHCP (physically secure)
- Nên sử dụng hệ thống file NTFS để lưu trữ dữ liệu hệ thống.
- Triển khai và ứng dụng các giải pháp anti-virus mạnh cho hệ thống.
- Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows.
- Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc uninstall đi.
- Thực hiện việc quản lý DHCP với user có quyền hạn tối thiểu nhất.
- DHCP Server phải được đặt phía sau firewall.
- Đóng tất cả các port không sử dụng đến.
- Để tăng thêm tính bảo mật cho DHCP Server, bạn có thể sử dụng VPN
tunnel để bảo mật traffic DHCP.
- Sử dụng filter MAC Address.
- Giám sát hoạt động của DHCP bằng cách xem qua các file log và xem thông
tin thống kê của hệ thống trên DHCP Server.
12. Sử dụng Event Viewer để giám sát hoạt động của DHCP
Bạn có thể sử dụng công cụ Event Viewer nằm trong thư mục Administrative
Tools để giám sát hoạt động của DHCP. Event Viewer lưu trữ các sự kiện của
system, application và security. Tất cả các sự kiện giám sát hoạt động của
DHCP được ghi nhận trong security log. Các thông tin này ghi nhận cả hoạt
động của dịch vụ DHCP và DHCP Server, ví dụ như DHCP Server được start
và stop vào lúc nào, dãy IP cấp cho client gần cạn kiệt vào lúc nào, database
của DHCP bị lỗi vào lúc nào.
Mỗi một sự kiện trong log được đánh một mã số (ID number) riêng biệt với
nhau. Sau đây là một vài ID sự kiện thường gặp trong system log của DHCP :
Event ID 1037 (Information): cho biết DHCP Server đã xóa sạch cơ sở dữ
liệu.
Event ID 1044 (Information): cho biết DHCP Server được ủy quyền
(authorized) để

có thể cung cấp địa chỉ IP cho client.

54
Event ID 1042 (Warning): cho biết dịch vụ DHCP đang chạy trên hệ thống thì
phát hiện có dịch vụ DHCP khác cũng được chạy trên mạng (tức là có 2 máy
tính chạy dịch vụ DHCP trong hệ thống).
Event ID 1056 (Warning): cho biết dịch vụ DHCP được chạy trên máy chủ
Domain Controller nhưng nó không được cấu hình để cập nhật DNS động.
Event ID 1046 (Error): cho biết dịch vụ DHCP chạy trên Server này chưa
được ủy quyền (authorized) để có thể cung cấp IP động cho client.
13. Các vấn đề cần lưu ý của dịch vụ DHCP
Có các trường hợp Client tự cài dịch vụ DHCP trong hệ thống mạng(DHCP
Server giả mạo) điều này gây ảnh hưởng đến các Client muốn được cấp IP
nhưng nằm xa vị trí DHCP Server thật sự. Do tính hiệu xin và cấp địa chỉ IP
là Broadcast nên sẽ có trường hợp Client nhận không đúng thông số IP do
DHCP Server giả mạo cấp. Bạn cần rà soát kỹ trong hệ thống mạng của mình.

- Các thiết bị phần cứng như Router ADSL,Wireless.. cũng có khả năng cấp
địa chỉ IP, do đó cần tắt chức năng cấp IP động trên các thiết bị trước khi đưa
vào sử dụng.
- Chỉ có thành viên của nhóm DHCP Administrators mới cấu hình và sử đung
các tính năng trong dịch vụ DHCP. Chỉ cần cung cấp đủ quyền cho các đối
tượng liên quan đến quản lý duy trì hoạt động của dịch vụ này.

KẾT LUẬN

Với sự cần thiết của DHCP như trên, đề tài DHCP server sẽ làm sáng tỏ
ý nghĩa của việc dùng DHCP server và các vấn đề của dịch vụ DHCP server,
cơ chế hoạt động. cách cài đặt cũng như sao lıru phục hồi hay bảo mật dịch vụ
DHCP.
Chúng em xin chân thành cảm ơn quá trình hướng dẫn, giảng dạy, giúp
đỡ nhiệt tình của thầy Phạm Tuấn Khiêm đã giúp chúng em hoàn thành đề tài
này.

55
 Do kiến thức còn hạn chế nên đề tài không tránh khỏi sai sót, đầy đủ về
dịch vụ DHCP sever. Chúng em hi vọng qua đề tài này chúng em sẽ hiểu rõ
về mạng máy tính nói chung và dịch vụ DHCP nói riêng.

TÀI LIỆU THAM KHẢO

[1] http://www.nhatnghe.com/
[2] http://www.thegioimang.org
[3] Quản trị Windows Server 2003

56