Как работает DHCP

Исследование IP-адреса в среде DHCP

ИНФОРМАЦИОННЫЕ РЕСУРСЫ В ИНТЕРНЕТЕ

Запросы к базе данных Whois ARIN:http://www.arin.net/

Запросы к базе данных Whois армии США:http://www.nic.mil/dodnic/

Запросы американских точек контакта:http://www.internic.net/whois.html

Запросы базы данных Whois RIPE:http://www.ripe.net/cgi-bin/whois

Запросы базы данных Whois APNIC:http://www.apnic.net/

Вопрос 2. Исследование динамических IP-адресов.

Когда была создана версия 4 IP, она теоретически допускала 232, или более четырех миллиардов (4 294 967 296) IP-адресов. Однако в связи с расширени­ем Интернета общий пул IP-адресов быстро исчерпывается. Очевидным ре­шением стало создание новой версии IP, чтобы получить значительно боль­ше адресов. Это было сделано с помощью IP версии 6, но ее развертывание может потребовать нескольких лет, так как она требует модификации всей инфраструктуры Интернета. Поэтому было разработано несколько методов для сбережения IP-адресов. Двумя наиболее распространенными решения­ми, которые сохраняют публичное IP-адресное пространство, являются трансляция сетевых адресов (NAT) и протокол динамической конфигура­ции хоста (DHCP). Оба метода обеспечивают распределение IP-адресов, которое может быть динамическим.

Динамические IP-адреса существуют, когда система может иметь другой IP-адрес в Интернете. Это противоположно статическим IP-адресам, где сис­тема имеет один и тот же IP-адрес всякий раз, когда она соединяется с Ин­тернетом. Динамические IP-адреса присваиваются пользователям, которые соединяются с поставщиком услуг Интернета (ISP) с помощью телефонного кабеля, корпоративным пользователям, которые находятся в сети, использу­ющей DHCP, и корпоративным пользователям, применяющим телефонное соединение. При определении принадлежности IP-адреса, потребуется рас­смотреть, использовалась в целевой сети DHCP или NAT.

 

DHCP предоставляет динамические IP-адреса хостам, обращающимся к сети. Рабочие станции конфигурируются для получения своих IP-адресов (вместе с другой сетевой информацией) от централизованного сервера DHCP. Протокол DHCP популярен, так как требует от конечного пользова­теля небольшой конфигурации вручную для работы в сети. Несмотря на мотивации для использования DHCP, он предоставляет дополнительный слой анонимности для конечного пользователя.

Когда системе, сконфигурированной для использования DHCP, требует­ся IP-адрес, она посылает широковещательное сообщение DHCP Disco­ver серверу DHCP. Сервер DHCP получает сообщение DHCP Discover и отвечает сообщением Offer, содержащим предложенный IP-адрес и все другие параметры, которые сервер DHCP сконфигурировал для отправ­ки. Клиент DHCP будет использовать данные параметры, включая IP-ад­рес, в течение ограниченного периода времени. На следующей иллюст­рации демонстрируется работа начального запроса.

IP-адрес будет выделяться ноутбуку сотрудника на предопределенный период времени,

Перед использованием предоставленного IP-адреса клиентская систе­ма отправит широковещательный пакет Address Resolution Protocol (ARP), чтобы определить, не используется ли IP-адрес какой-либо другой системой в сети. Если адрес никем не используется, то клиентская система применяет IP-адрес.

В отношении DHCP хорошо то, что распределение IP-адресов обычно записывается в журнал независимо от операционной системы, которую ис­пользует сервер DHCP. Вы сможете определить, какая система (по адресу MAC) имела определенный IP-адрес в определенное время. Если сервер DHCP является системой UNIX, сервер DHCP (называемый dhcpd) исполь­зует программу syslogd для записи выделенных IP-адресов (см. главу 3). Если сервер DHCP является системой Windows, то IP-адреса будут пред­ставлены в обычном текстовом файле с именем DhcpSrvLog.

Далее следует фрагмент файла сообщений /var/log/ на сервере Linux (номера строк добавлены для ссылок):

1) Dec 6 20:52:57 rain dhcpd: DHCPDISCOVER from 00:10:4b:0a:72:3e via x10

2) Dec 6 20:52:58 rain dhcpd: DHCPOFFER on 10.10.10.2 to 00:10:4b:0a:72:3e via x10

3) Dec 6 20:53:01 rain dhcpd: DHCPDISCOVER from 00:10:4b:0a:72:3e via x10

4) Dec 6 20:53:02 rain dhcpd: DHCPOFFER on 10.10.10.2 to 00:10:4b:0a:72:3e via x10

5) Dec 6 20:53:02 rain dhcpd: DHCPREQUEST for 10.10.10.2 from 00:10:4b:0a:72:3e via x10

6) Dec 6 20:53:02 rain dhcpd: DHCPACK on 10.10.10.2 to 00:10:4b:0a:72:3e via x10

В строке 1 система с адресом MAC 00:10:4b:0a:72:3e запрашивает DHCP о вы­делении адреса. В строке 2 сервер DHCP предлагает клиенту IР-адрес 10.10.10.2. В строке 3 клиент посылает другое сообщение DHCPDISCOVER, возможно, он мог послать пакет до получения от сервера сообщения DHCPOFFER, В строке 4 сервер DHCP снова посылает клиенту сообщение DHCPOFFER. Строка 5 пока­зывает пакет DHCPREQUEST, посланный серверу DHCP. Так как клиент мо­жет получать выделенные DHCP адреса от нескольких различных серверов DHCP, клиент посылает сообщение DHCPREQUEST назад серверу, от ко­торого он принял DHCPOFFER. В строке 6 DHCP подтверждает присвое­ние IP-адреса 10.10.10.2 адресу MAC 00:10:4b:0a:72:3e с пакетом DHCPACK. Теперь вы знаете, что 6 декабря в 20:53:02, IP-адрес 10.10.10.2 принадлежал системе с МАС-адресом 00:10:4Ь:Оа:72:Зе.

Чтобы уточнить выделенные адреса DHCP в системе UNIX, выполняющей (очень часто) DHCP сервер консорциума по программам Интернета (ISC), можно проверить файл dhcpd.leases (он находится в /var/db/dhcpd.leases). Пример файла dhcpd.leases на сервере DHCP для Linux:

lease 10.10.1.10 {

starts 4 2001/04/12 14:42:30;

ends 4 2001/04/12 20:42:30;

hardware ethernet 00:02:2d:09:97:81;

uid 01:00:02:2d:09:97:81;

client-hostname "ORION-LAPTOP"; }

В этом файле можно видеть, что система с именем хоста ORION-LAPTOP получила IP-адрес 10.10.1.10 12 апреля 2001 г. в 14:42:30. Можно определить, что система имеет также МАС-адрес 00:02:2d:09:97:81.

Необходимо отметить, что время задается по Гринвичу, поэтому можно вы­полнить команду date -u в системе UNIX, чтобы увидеть системные время и дату по Гринвичу. Числа 4 показанные полужирным шрифтом, соответству­ют дню недели. Представление дня недели начинается с 0, соответствующе­го воскресенью, 1 — понедельнику и т.д., 4 — четвергу. Вот еще несколько фрагментов из файла dhcpd.lease:

lease 10.1.1.10 {

starts 0 2001/04/15 16:41:41; ends 0 2001/04/15 22:41:41; nardware ethernet 00:10:4b:37:d7:fd; uid 01:00:10:4b:37:d7:fd; client-hostname "lucky";

}

lease 10.1.1.9 {

starts 0 2001/04/15 16:26:56;

ends 0 2001/04/15 22:26:56;

hardware ethernet 00:50:04:75:2e:ed;

uid 01:00:50:04:75:2e:ed;

client-hostname "James"; }

lease 10.1.1.4 {

starts 0 2001/01/21 07:06:41; ends 0 2001/01/21 07:06:41; abandoned;

client-hostname "halo":

}

Единственная аномалия в этом фрагменте состоит в записи abandoned, показанной здесь полужирным шрифтом. Такая запись обычно делается, когда система отвергает IP-адрес, который сервер DHCP предложил систе­ме. Как правило, это происходит, потому что предложенный IP-адрес уже используется в сети.