nKB

nKB

シンプルにいこうよ

DHCP

一般的にリース期間中にIPアドレスを配布されたPCの電源を落としてもIPアドレスは解放されない。
PCはリース期間の間にDHCPサーバに対し、IPアドレスの継続利用を要求し、リース期間が延長される。
PC側からIPアドレスの解放を要求することもできる。


WindowsDHCPサーバからIPアドレスを再取得する方法

> ipconfig /release
> ipconfig /renew

releaseでIPアドレスを開放し、renewで再取得する。

「169.254.xxx.xxx」のリンクローカルアドレスが割り当てられたときは
DHCPサーバからIPアドレスの取得に失敗したとき


リンクローカルアドレス

DHCPサーバが存在しないネットワーク内で使われる自分自身で発行する特別なIPアドレス

リンクローカルアドレスIPv4)の範囲は、「169.254.0.0~169.254.255.255」となる。  

ルータはリンクローカルアドレスを使用したパケットは転送しない為、
ネットワークセグメントを超えての使用はできない。

IPアドレスはAPIPA(Automatic Private IP Addressing)を使用して
自分自身で割り当てを行う。ネットワーク上の機器間でネゴシエーションを行い、
IPアドレスを決める。

DHCP通信

シーケンス

Step DHCP通信 通信の種類 通信の向き
1 DHCP Discover(探索) Broadcast Client→Server
2 DHCP Offer(提案) Unicast Client←Server
3 DHCP Request(要求) Broadcast Client→Server
4 DHCP Acknowledge(承認) Unicast Client←Server

ポート番号

67、68/UDP

DHCPリレーエージェント

DHCPはブロードキャストを使うので基本セグメントを超えて通信できない。
境界にあるルータ等にリレーエージェントを設定することで別のセグメントにある
DHCPサーバからIPアドレスを取得することができる。
DHCPリレーエージェントは、ブロードキャストをユニキャストに変換する。

DHCPスプーフィング攻撃

DHCPスプーフィング攻撃とは、攻撃者がDHCPサーバやDHCPクライアントになりすまし
攻撃することを言う。スプーフィングとは「偽装、なりすまし」を意味する。 対策としてまずは攻撃者がネットワークに繋げないようポートセキュリティやIEEE802.1X認証を
用いる。万が一、接続されてしまった場合としてはDHCPスヌーピングが有効である。

DHCPスヌーピング

スイッチで着信するDHCP要求と応答をスヌーピング(盗み見)し、対処することで
Dos攻撃DHCPサーバのなりすましを防ぐ。

DHCPスヌーピングが有効なスイッチでは、次の2つのインターフェースを定義する。

  • 信頼できるインターフェース
  • 信頼できないインターフェース

信頼できるインターフェースおよび信頼できないインターフェースでは、DHCP要求を
制限し、DHCPサーバへのDos攻撃を防ぐ。
信頼できないインターフェースでは、DHCP応答を受信しないことでDHCPサーバの
なりすましを制限する。

Catalyst 設定方法>

1 (config)# ip dhcp snooping
2 (config)# ip dhcp snooping vlan <vlan id>
3 (config-if)# ip dhcp snooping trust

1 DHCPスヌーピングをグローバルに有効化する
2 DHCPスヌーピングを有効にするVLAN番号を指定
3 信頼できるインターフェースを指定


参考
Windowsでは、DHCPによるIPアドレスの切り替え時に、いったん解放してから再割り当てする:Tech TIPS - @IT
Windowsネットワークに強くなる(第2回) おかしなIPアドレスが割り当てられる p3 | 日経 xTECH(クロステック)

以上