Dynamic Host Configuration Protocol (DHCP) là một giải pháp tự động và linh hoạt cho việc cấp phát địa chỉ IP trên mạng, giúp tiết kiệm thời gian và chi phí cho việc quản lý mạng. Trong bài viết này, BKHOST sẽ giải thích chi tiết vềDHCP là gì? Cách hoạt động của nó và các ưu và nhược điểm khi sử dụng nó trong hệ thống mạng.
DHCP là gì?
DHCP là viết tắt của Dynamic Host Configuration Protocol, là một giao thức mạng được sử dụng để tự động cấp phát các thông số mạng như địa chỉ IP, địa chỉ Gateway, địa chỉ DNS cho các thiết bị trên mạng.
DHCP cung cấp một cách dễ dàng và tiện lợi để quản lý địa chỉ IP trong mạng, giúp giảm tải cho quản trị viên mạng và tránh sự xung đột giữa các địa chỉ IP trong mạng. Nó cũng hỗ trợ tính năng như tự động cấp lại địa chỉ IP khi cần, giữ lại cấu hình mạng cho máy tính khi nó được tắt và bật lại.
DHCP hoạt động như thế nào?
Giao thức DHCP làm việc theo quy trình rất đơn giản: “Ai cần thì cho!”. Khi một thiết bị cần được kết nối vào hệ thống mạng, nó sẽ gửi yêu cầu tới router và được router phản hồi bằng cách gán cho 1 địa chỉ IP chưa được sử dụng trong hệ thống.
DHCP hoạt động theo các bước sau:
- Máy tính yêu cầu địa chỉ IP từ DHCP Server.
- DHCP Server gửi một địa chỉ IP còn trống đến máy tính.
- Máy tính xác nhận địa chỉ IP vừa nhận được.
- DHCP Server ghi lại thông tin về địa chỉ IP và máy tính đã sử dụng nó trong bảng quản lý.
- Máy tính sử dụng địa chỉ IP để truy cập Internet hoặc mạng cục bộ.
Lưu ý: Địa chỉ IP được cấp từ DHCP Server sẽ có thời hạn sử dụng và sẽ được tự động cấp lại khi hết thời hạn.
Ưu và nhược điểm của DHCP
Ưu điểm
- Tiện lợi: Cấp phát địa chỉ IP tự động và dễ dàng quản lý.
- Tối ưu: Giảm tải cho quản trị viên mạng và tránh xung đột địa chỉ IP.
- Hiệu quả: Tự động cấp lại địa chỉ IP khi cần và giữ lại cấu hình mạng cho máy tính khi tắt và bật lại.
Nhược điểm
- Độ tin cậy thấp: Nếu DHCP Server bị lỗi, tất cả máy tính trong mạng sẽ không thể kết nối đến mạng.
- An toàn thông tin: Các thông tin về địa chỉ IP và máy tính đang sử dụng được lưu trữ trên DHCP Server, có thể gây nguy cơ cho an toàn thông tin.
- Sự ràng buộc: Máy tính phải sử dụng địa chỉ IP của DHCP Server và không thể tự cấu hình địa chỉ IP.
Kiến trúc DHCP và các thuật ngữ liên quan
Một số thuật ngữ liên quan khi sử dụng DHCP:
- DHCP client.
- DHCP server.
- DHCP relay agents.
- Binding.
- DHCP Lease.
DHCP Client
DHCP Client là một thiết bị mạng (chẳng hạn như máy tính hoặc thiết bị điện tử) yêu cầu địa chỉ IP từ DHCP Server. Nó gửi yêu cầu để nhận địa chỉ IP và cấu hình thông số mạng từ DHCP Server, và sử dụng chúng để kết nối và hoạt động trên mạng. Sử dụng DHCP Client giúp tiết kiệm thời gian và công sức cho quản trị viên mạng vì không cần tự cấu hình địa chỉ IP cho mỗi thiết bị trong mạng.
DHCP Server
DHCP Server là một máy chủ mạng được cấu hình để cấp địa chỉ IP tự động cho các thiết bị trong mạng. Nó giúp quản lý và cấp phát địa chỉ IP một cách tự động và tiện lợi cho máy tính và thiết bị trong mạng. Điều này giúp giảm tải cho quản trị viên mạng và tránh xung đột địa chỉ IP.
DHCP relay agents
DHCP Relay Agent là một thiết bị mạng được cấu hình để chuyển tiếp yêu cầu DHCP từ thiết bị (như máy tính hoặc thiết bị điện tử) sang DHCP Server. Nó giúp cho các thiết bị trong mạng nằm trong subnet khác nhau có thể nhận địa chỉ IP từ cùng một DHCP Server. DHCP Relay Agent cung cấp một cách tiện lợi và hiệu quả cho quản trị viên mạng trong việc quản lý mạng lớn với nhiều subnet.
DHCP Binding
Binding trong DHCP là một quá trình liên kết giữa một địa chỉ IP cụ thể với một thiết bị mạng cụ thể. Khi một thiết bị yêu cầu một địa chỉ IP từ DHCP Server, DHCP Server sẽ gán một địa chỉ IP cho thiết bị đó và liên kết địa chỉ đó với MAC address của thiết bị. Quá trình binding này giúp cho DHCP Server biết được địa chỉ IP nào đang được sử dụng bởi thiết bị nào và tránh xung đột địa chỉ IP.
DHCP Lease
DHCP Lease là một thời gian được gán cho một địa chỉ IP để sử dụng bởi một thiết bị mạng. Khi một thiết bị yêu cầu một địa chỉ IP từ DHCP Server, DHCP Server sẽ gán một địa chỉ IP cho thiết bị và xác định một thời gian lease cho địa chỉ đó. Thời gian lease cho phép thiết bị sử dụng địa chỉ IP đó trong một khoảng thời gian xác định. Sau khi thời gian lease kết thúc, thiết bị sẽ phải yêu cầu một địa chỉ IP mới hoặc gia hạn thời gian lease cũ. Leasing thời gian giúp cho DHCP Server quản lý tốt việc sử dụng địa chỉ IP và tránh xung đột địa chỉ IP.
Vai trò của DHCP trong hệ thống mạng
DHCP là một giao thức quản lý địa chỉ IP trong hệ thống mạng, vai trò chính của nó như sau:
- Cấp phát địa chỉ IP: DHCP Server sẽ gán địa chỉ IP tự động cho các thiết bị mạng khi chúng yêu cầu.
- Giảm tải của quản trị viên: Không cần phải tay tạo từng địa chỉ IP cho từng thiết bị, giảm tải cho quản trị viên.
- Tự động cập nhật thông tin: Khi có sự thay đổi trong hệ thống mạng, DHCP sẽ tự động cập nhật và quản lý thông tin.
- Giảm tình trạng xung đột địa chỉ IP: DHCP sẽ quản lý việc sử dụng địa chỉ IP và tránh xung đột địa chỉ IP.
- Dễ dàng mở rộng hệ thống: Khi muốn mở rộng hệ thống, không cần phải tay cấu hình từng địa chỉ IP cho từng thiết bị mới, giúp cho quá trình mở rộng dễ dàng hơn.
Xung đột IP là gì? Cách xử lý như thế nào?
DHCP giúp cấp phát IP động một cách nhanh nhất và giảm thiểu lỗi trùng IP. Tuy nhiên, trong nhiều trường hợp thì vẫn có lỗi phát sinh do các sự cố liên quan đến máy chủ DHCP, hoặc dịch vụ DHCP đang bị lỗi.
Hướng dẫn xử lý lỗi xung đột IP và DHCP:
Nếu trong hệ thống mạng có hiện tượng IP bị lỗi duplicate. Người quản trị chỉ cần reset thiết bị báo trùng hoặc từ thiết bị xin cấp IP mới. Nếu vẫn không được, có thể khởi động lại Router hoặc dịch vụ DHCP của máy chủ. Nếu cả 2 cách trên không thành công, vấn đề không phải do router hoặc DHCP server.
Các thông điệp giao tiếp giữa DHCP server và máy client
Trong quá trình giao tiếp giữa DHCP Client và DHCP server, sẽ có những gói tin sau được trao đổi qua lại:
- DHCP Server gửi: DHCP OFFER, DHCP ACK, DHCP NAK
- DHCP Client gửi: DHCP DISCOVER, DHCP REQUEST, DHCP RELEASE
DHCP Discover
Đây là gói tin yêu cầu cấp phát địa chỉ IP để truy cập mạng của DHCP client gửi đến DHCP server.
DHCP Offer
Đây là gói tin phản hồi của DHCP Server gửi cho client sau khi nhận được gói DISCOVER. Gói tin này chứa địa chỉ IP và các thông tin cấu hình TCP/IP bổ sung.
DHCP Request
Đây là gói tin Client gửi cho DHCP server về việc đã nhận được thông tin địa chỉ IP trong gói DHCP Request.
DHCP Acknowledge
Đây là gói tin mà DHCP Server gửi cho client để xác thực việc client chấp nhận DHCP Request. Khi này, DHCP Server sẽ tiến hành định hướng các thông số cài đặt để client có thể kết nối mạng TCP/IP và hoàn thành quy trình cấp phát.
H3: DHCP Nak
Đây là gói tin mà DHCP server gửi cho Client trong trường hợp địa chỉ IP đã được sử dụng, hoặc hết giá trị. Đồng thời yêu cầu Client phải thực hiện quy trình cấp phát lại từ đầu.
DHCP Decline
Đây là gói tin từ các thiết bị client gửi đến cho DHCP Server khi mà các thông tin được trả về từ DHCP Server không có giá trị. Nó sẽ tiến hành gửi các yêu cầu mới cho đến khi nhận được ip thành công.
DHCP Release
Là gói tin mà DHCP Client gửi đến một DHCP Server để giải phóng địa chỉ IP, các thông tin khác và xóa tất cả những thông tin đã được cấp phát.
Các cuộc tấn công có thể xảy ra với DHCP như thế nào?
Sẽ xảy ra 2 tình huống khi mà nơi bị tấn công là client hoặc từ máy chủ.
Trường hợp 1: DHCP client bị tấn công
Khi một máy client bị tấn công, nó bị chiếm quyền điều khiển và sẽ liên tục gửi các gói tin yêu cầu cấp phát ip mới. Cho đến khi DHCP Server không còn địa chỉ IP nào để cấp phát cho các thiết bị khác nữa.
Điều này khiến thiết bị không thể truy cập được mạng, gây trì trệ trong quá trình làm việc của doanh nghiệp, tổ chức. Đây là một phương thức tấn công nhanh gọn và khá dễ thực hiện.
Trường hợp 2: DHCP server bị tấn công
Trường hợp này rất nguy hiểm, nếu hacker có thể phá tường lửa và kiểm soát hoàn toàn DHCP Server và điều khiển toàn bộ hệ thống mạng. Hacker sẽ tiến hành 1 trong 3 kiểu tấn công sau:
- DoS hệ thống mạng: Bằng cách giả mạo một dải ip mới, subnet mask mới, làm cho các thiết bị client không thể truy cập mạng.
- DNS redirect: Bằng cách thay đổi thông tin DNS, từ đó các máy client sẽ bị chuyển hướng đến những trang web giả, hoặc thậm chí là các trang có mã độc,… từ đó đánh cắp thông tin người dùng.
- Man-in-the-middle: Hacker sẽ tấn công làm thay đổi cổng kết nối mặc định về máy của chúng. Sau đó copy, đánh cắp toàn bộ thông tin người dùng. Các yêu cầu từ máy client sẽ bị chuyển toàn bộ tới máy của hacker.
Các giải pháp bảo mật DHCP
Có nhiều giải pháp bảo mật DHCP. Tuỳ thuộc vào từng loại tấn công mà chúng ta ứng dụng các giải pháp khác nhau.
Với trường hợp tấn công bằng cách sử dụng DHCP client bất hợp pháp
Với kiểu tấn công này, hiện nay có thể xử lý bằng cách sử dụng các loại switch có khả năng bảo mật cao, ngăn chặn tấn công cao. Nó có chức năng giúp hạn chế số lượng địa chỉ MAC được sử dụng trên một port. Điều này sẽ hạn chế việc trong cùng một khoảng thời gian có quá nhiều địa chỉ MAC được sử dụng trên cùng 1 port. Nếu số lượng MAC vượt ngưỡng quy định, cổng đó sẽ bị đóng lại và tạm dừng hoạt động cho đến khi được phép.
Với trường hợp tấn công Man-in-the-middle
Để xử lý kiểu tấn công này, bạn cũng có thể sử dụng các loại switch có tính năng bảo mật DHCP snooping cao. Từ đó hạn chế các kết nối DHCP đến các cổng không đủ độ tin cậy. Chỉ những cổng được thiết lập đáng tin cậy, gói tin mới có thể đi qua, như vậy có thể hạn chế được việc các máy trạm bị chuyển hướng đến một máy chủ không xác thực.
Một số giải pháp khác
Ngoài 2 cách trên bạn có thể sử dụng các cách sau:
- Sử dụng phần mềm diệt virus bản quyền; thường xuyên cập nhật và quét virus cho hệ thống.
- Thường xuyên update Windows và các phần mềm được cài đặt trong hệ thống.
- Sử dụng NTFS để lưu trữ dữ liệu an toàn hơn.
- Không cài đặt các ứng dụng lạ, gỡ bỏ các ứng dụng không sử dụng đến.
- Cài đặt firewall cho hệ thống mạng.
- Sử dụng các phương thức bảo vệ vật lý cho máy chủ.
Tổng kết về DHCP
Tóm lại, DHCP mang lại rất nhiều lợi ích cho người dùng. Tuy nhiên, nó cũng có thể xảy ra lỗi và có thể bị tấn công, trở thành lỗ hổng để hacker tấn công trên quy mô toàn hệ thống.
Nếu bạn có bất cứ câu hỏi hay thắc mắc nào liên quan đến DHCP, hãy để lại ở phần comment ở bên dưới, chúng tôi sẽ trả lời bạn trong thời gian sớm nhất.