高防场景下的DHCP更新策略
一 租约时间策略
- 短租约优先:在受攻击或高流动环境下,建议将default-lease-time设为300–600秒、max-lease-time设为1800–3600秒,以便异常主机快速回收IP,降低被占坑与滥用风险。
- 长租约场景:对稳定性要求高且威胁较低的网段,可设置default-lease-time=86400秒(1天)、max-lease-time=604800秒(7天),减少续约流量与抖动。
- 配置示例(ISC DHCP):
subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.100 10.10.10.200;
option routers 10.10.10.254;
option domain-name-servers 8.8.8.8;
default-lease-time 600;
max-lease-time 7200;
}
说明:上述参数单位为秒,可按防护目标在“快速回收”和“稳定持有”之间权衡。
二 更新时点与重试策略
- 标准续约时点:客户端在租约的T1=50%时以单播向原DHCP服务器发送DHCPREQUEST续约;成功则延长租约。
- 重新绑定时点:若T1失败,客户端在T2=87.5%时以广播向任意DHCP服务器请求续约;若仍失败,进入重新绑定并继续广播尝试。
- 高可用建议:在核心高防网络内保证≥2台DHCP服务器在线,覆盖T2广播续约路径,减少因单点故障导致的租约中断与业务抖动。
三 DNS动态更新策略
- 模式选择:通过ddns-update-style设置更新模式,常用为none(禁用)、interim(标准交互式)、ad-hoc(特殊模式);多数生产环境为简化运维与安全考虑采用none。
- 更新权限:结合allow/ignore client-update控制由客户端还是服务器执行DNS记录更新,降低伪造主机名与DNS污染风险。
- 配置示例:
ddns-update-style none;
allow client-update;
说明:若启用DDNS,应配合TSIG密钥与访问控制,避免未授权更新。
四 高可用与网络侧策略
- 多服务器与权威声明:部署主备或多台DHCP服务器并配置authoritative,提升续约成功率与故障切换速度。
- DHCP中继与跨网段:在跨VLAN/跨机房场景使用ip helper-address指向合法DHCP服务器,确保T2广播可达。
- 接入层防护:在交换机启用DHCP Snooping,将上联口设为信任、下联口设为非信任,仅允许合法DHCP报文;结合802.1X进行设备准入,减少伪造DHCP服务器与“DHCP饿死”攻击面。
五 监控审计与应急策略
- 日志与审计:启用并集中存储DHCP服务日志,关注租约分配/续约失败、异常大量Discover/Request等告警,用于快速定位攻击与故障。
- 租约可视化:定期查看/var/lib/dhcpd/dhcpd.leases,核对IP与MAC映射、租约时长分布,发现异常占用与“僵尸租约”。
- 应急变更:攻击期间可临时缩短default-lease-time至60–300秒并扩容地址池;威胁解除后逐步恢复到稳态配置,避免业务抖动。
