一般的にリース期間中にIPアドレスを配布されたPCの電源を落としてもIPアドレスは解放されない。
PCはリース期間の間にDHCPサーバに対し、IPアドレスの継続利用を要求し、リース期間が延長される。
PC側からIPアドレスの解放を要求することもできる。
WindowsでDHCPサーバからIPアドレスを再取得する方法
> ipconfig /release > ipconfig /renew
releaseでIPアドレスを開放し、renewで再取得する。
「169.254.xxx.xxx」のリンクローカルアドレスが割り当てられたときは
DHCPサーバからIPアドレスの取得に失敗したとき
リンクローカルアドレス
DHCPサーバが存在しないネットワーク内で使われる自分自身で発行する特別なIPアドレス。
リンクローカルアドレス(IPv4)の範囲は、「169.254.0.0~169.254.255.255」となる。
ルータはリンクローカルアドレスを使用したパケットは転送しない為、
ネットワークセグメントを超えての使用はできない。
IPアドレスはAPIPA(Automatic Private IP Addressing)を使用して
自分自身で割り当てを行う。ネットワーク上の機器間でネゴシエーションを行い、
IPアドレスを決める。
DHCP通信
シーケンス
Step | DHCP通信 | 通信の種類 | 通信の向き |
---|---|---|---|
1 | DHCP Discover(探索) | Broadcast | Client→Server |
2 | DHCP Offer(提案) | Unicast | Client←Server |
3 | DHCP Request(要求) | Broadcast | Client→Server |
4 | DHCP Acknowledge(承認) | Unicast | Client←Server |
ポート番号
67、68/UDP
DHCPリレーエージェント
DHCPはブロードキャストを使うので基本セグメントを超えて通信できない。
境界にあるルータ等にリレーエージェントを設定することで別のセグメントにある
DHCPサーバからIPアドレスを取得することができる。
DHCPリレーエージェントは、ブロードキャストをユニキャストに変換する。
DHCPスプーフィング攻撃
DHCPスプーフィング攻撃とは、攻撃者がDHCPサーバやDHCPクライアントになりすまし
攻撃することを言う。スプーフィングとは「偽装、なりすまし」を意味する。
対策としてまずは攻撃者がネットワークに繋げないようポートセキュリティやIEEE802.1X認証を
用いる。万が一、接続されてしまった場合としてはDHCPスヌーピングが有効である。
DHCPスヌーピング
スイッチで着信するDHCP要求と応答をスヌーピング(盗み見)し、対処することで
Dos攻撃やDHCPサーバのなりすましを防ぐ。
DHCPスヌーピングが有効なスイッチでは、次の2つのインターフェースを定義する。
- 信頼できるインターフェース
- 信頼できないインターフェース
信頼できるインターフェースおよび信頼できないインターフェースでは、DHCP要求を
制限し、DHCPサーバへのDos攻撃を防ぐ。
信頼できないインターフェースでは、DHCP応答を受信しないことでDHCPサーバの
なりすましを制限する。
<Catalyst 設定方法>
1 (config)# ip dhcp snooping 2 (config)# ip dhcp snooping vlan <vlan id> 3 (config-if)# ip dhcp snooping trust
1 DHCPスヌーピングをグローバルに有効化する
2 DHCPスヌーピングを有効にするVLAN番号を指定
3 信頼できるインターフェースを指定
参考
Windowsでは、DHCPによるIPアドレスの切り替え時に、いったん解放してから再割り当てする:Tech TIPS - @IT
Windowsネットワークに強くなる(第2回) おかしなIPアドレスが割り当てられる p3 | 日経 xTECH(クロステック)
以上