<b>关于DHCP服务器弊端的深化研究</b>[服务器安全]

DHCP服务器问题,是企业布置网络中相当重要的一个环节.在不少企事业单位,出于节俭资源大概便利的需求,常常在一台PC机上布置很多服务,这样这台PC就兼职较多服务器功效.这样的筹划确切便利了管理和保护,但也为网络的安全、安定运行埋下了隐患.一旦网络发生弊端,对整个局域网的影响几近是毁灭性的.和大家同享一个相关案例,以惹起大家的器重.

1、网络情况描写

这个案例来自某高级中学的中央机房.在该校的中央机房里有不少服务器,有为大大都计算机供应服务的大众服务器,比方DHCP服务器.也有为专业机房和专业软件服务的专用服务器,比方ERP服务器等.此中唯一的一台DHCP服务器为3个机房大约150台客户端供应服务,负责全部机房学朝气IP地址的自动分配.普通情形下,该校的机房至少有2个处于利用状况,一向以来DHCP服务器运行杰出.

近来,该校的机房布置了在线测验系统,需求一个数据库服务器以保存测验题库,以及举行评分等.于是,管理员在这台DHCP服务器上同时布置了在线测验系统,以供应测验中的数据交互和存取服务.此外,由于机房没有磁盘存储阵列,该DHCP服务器同时还作为文件服务器.以备份机房各种相关资料,如驱动程序、服务器利用软件、上机操练题、测验题、系统镜像文件等.学朝气只有系统分区在硬盘复原卡的保护之下,其他分区没有设定为保护留给学生作为数据盘.为了便于保护,学朝气布置完毕之后,在服务器上做了系统的镜像备份,这样一旦系统被学生破坏,可以很便利地通过网络克隆来恢复.于是,这台DHCP服务器还兼职这项功效.

2、弊端现象及诊断

在网络测验前一天的模拟测试中,发现测试机房中的客户端大部份无法登录,登录后无法获得题库大概速度非常慢.同时,别的一个机房中正在举行上机课,上课的老师也反映学朝气大面积网络不通.上课老师即刻举行了排错,发现并非由于链路弊端所致.然后,在操作系统的号令提醒符中中利用网络号令ipconfig,发现客户端机械无法得到IP地址.因此可以必定是此缘由使得不能拜候网络,重新启动计算机弊端仍旧,证明问题不是出在学朝气上.查看交换机指导灯显示状况正常,没有因堵塞产死活机的现象,那么问题只能是出在DHCP服务器上了.接下来查看DHCP服务器上的DHCP服务状况,也显示也正常,但是发现服务器操作反映较慢.那是什么缘由招致DHCP服务器呼应变慢呢?

3、弊端缘由解析

要理解招致DHCP服务器呼应变慢的缘由,我们有必要理解一下DHCP服务的工作历程.假如在局域网中布置了DHCP服务器,并且客户端设置为自动得到IP地址.这样当DHCP客户端第一次登录网络的时刻,也就是客户端发现本机上没有任何IP数据设定,它会向网络发出一个DHCP discover封包.因为客户端还不知道自己属于哪一个网络,所以封包的根源地址会为

0.0.0.0,而目的地址则为255.255.255.255,然后再附上DHCP discover的信息,向网络举行广播.在windows的预设默许情形下,DHCP discover的等候时间预设为1秒,也就是当客户端将第一个DHCP discover封包送出去之后,在1秒之内没有得到呼应的话,就会举行第二次DHCP discover广播.若一向得不到呼应的情形下,客户端一共会有四次DHCP discover广播(包含第一次在内).除了第一次会等候1秒之外,别的三次的等候时间辨别是9、13、16秒.假如都没有得到DHCP服务器的呼应,客户端则会显示错误信息,宣布DHCP discover的失利.之后,基于利用者的挑选,系统会持续在5分钟之后再反复一次DHCP discover的历程;当DHCP服务器收到DHCP客户机广播的DHCP discover信息后,它会向DHCP客户机发送DHCP offer信息,此中包含一个可租用的IP地址.一旦客户机收到DHCP offer信息,就将利用服务器所供应的IP地址.

从DHCP的工作历程来解析,学朝气无法得到IP地址应当是DHCP服务器没有做出呼应,大概是DHCP服务器做出了响但学朝气没有收到DHCP服务器的DHCP offer信息造成的.测试网线后首先解除了由于网络硬件缘由造成学朝气收不到DHCP服务器呼应的大概,由此判断就是DHCP服务器没有做出正常呼应,但是DHCP服务器为什么没有做出呼应呢?

大家都知道,此时别的一个机房正在举行在线测验的模拟测试,在测试中客户端会与服务器之间有大量的数据交互,这些数据占用了大量的系统资源和网络带宽,因此造成DHCP服务器的呼应迟钝.这样就进入了一个恶性循环,不但在线测验系统无法正常工作,学朝气无法得到IP地址无法上网,并且在网络中充斥着大量的反复恳求(包含DHCP客户端和在线测验系统客户端).这些垃圾信息占用了大量带宽,形成了网络风暴.更为偶合的是,此时第三个机房内正有几台系统被学生破坏的计算机在举行网络克隆恢复.服务器需求举行大量的数据传输,这样就使得服务器网络端和总线负担太重,不但操作系统进程无法及时呼应学朝气发出的DHCP恳求,并且三个机房谁都无法正常工作.

4、弊端解除

很明显,这台不堪重负的DHCP服务器造成了三个机房的系列弊端.要从根本上办理问题,只有通过进级服务器大概增添服务器的数目,做到各司其职,从而避免服务器负担太重.即布置专门的DHCP服务器以供机房的IP服务,布置专门的数据库服务器以服务于在线测验系统,布置专门的文件服务器以供应文件服务器和供应网络克隆服务.这样,固然需求额外的投入,但是这是必须的.不过,购置专门的服务器关于诸如学校这样的事业单位不太实际.在笔者的倡议下,该校采纳了这样的筹划:由于在线测验系统的数据交互频繁,对服务器要求对比高,因此撤消这台服务器的DHCP服务和文件同享服务器,专职测验数据库服务.DHCP服务和文件同享服务,关于系统性能要求不是很高可以用普通的PC机替换.在举行上面的重新布置后,近似的弊端再也没有呈现

不过,让我们好奇的是,该校的网络管理员为什么在当初的布置和测试中发现这个问题呢?据笔者理解,本来当初他们是在三个机房中辨别举行的测试,而没有在三个机房中同时举行针对服务器的压力测试.

5、小结

通过这个案例,我要说的是,局域网是个完好的逻辑体系它有其自身的特点.服务器作为网络功效实现的核心必须我们要保证它的正常工作,超越正常的利用极限和范围就会对部份大概整个网络带来意想不到的后果.分外是关于像DHCP这样供应最底层服务的大众服务器,不要使其负载太重.因为,不堪重负它们就会罢工. 　　以上是“<b>关于DHCP服务器弊端的深化研究</b>[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：