DHCP Là Gì? Cách Thức Hoạt Động Của DHCP Server Năm 2024

DHCP (Dynamic Host Configuration Protocol) là giải pháp giúp quản trị viên mạng tự động hóa việc cấp phát địa chỉ IP, giảm bớt gánh nặng cấu hình thủ công cho từng thiết bị. Bài viết này từ Công ty TNHH Công Nghệ VPSTTT sẽ giới thiệu chi tiết cách hoạt động của DHCP Server và những lợi ích mà nó mang lại trong quản lý hệ thống mạng.

DHCP là gì?

DHCP

 

DHCP (Dynamic Host Configuration Protocol) là một giao thức mạng dùng để tự động cấp phát và quản lý địa chỉ IP cho các thiết bị trong mạng. Nó giúp các thiết bị client nhận được địa chỉ IP và các thông số mạng cần thiết, như subnet mask, gateway mặc định, và DNS server, mà không cần cấu hình thủ công. Điều này giúp đơn giản hóa việc quản lý mạng và đảm bảo tính hiệu quả trong việc sử dụng địa chỉ IP.

Các thuật ngữ DHCP

Một số thuật ngữ bạn cần biết khi tìm hiểu về DHCP:

DHCP Client (Máy trạm DHCP): Là thiết bị kết nối vào mạng và sử dụng DHCP để nhận thông tin cấu hình, bao gồm địa chỉ IP và địa chỉ máy chủ DNS.

DHCP Server (Máy chủ DHCP): Là thiết bị trên mạng có chức năng cung cấp các thông tin cần thiết cho DHCP Client khi có yêu cầu.

Binding (Kết nối): Là tập hợp các thông tin cấu hình, trong đó có ít nhất một địa chỉ IP, được sử dụng bởi DHCP Client và các kết nối này được quản lý bởi DHCP.

BOOTP Relay Agents (Thiết bị chuyển tiếp BOOTP): Là máy trạm hoặc router có khả năng chuyển tiếp các thông điệp DHCP giữa DHCP Server và DHCP Client.

DHCP Lease: Là khoảng thời gian mà một địa chỉ IP được giữ nguyên trước khi thay đổi. Mỗi địa chỉ IP có một vòng đời nhất định, và khi hết thời gian này, nó sẽ được cấp phát lại cho một địa chỉ IP mới.

Về cách thức hoạt động của DHCP, bạn có thể tham khảo phần tiếp theo dưới đây.

Cách thức hoạt động của DHCP

Cách thức hoạt động của DHCP

Cách thức hoạt động của DHCP rất đơn giản: khi một thiết bị kết nối vào mạng và yêu cầu địa chỉ IP, router sẽ lập tức gán cho thiết bị đó một địa chỉ IP khả dụng, giúp thiết bị có thể giao tiếp trên mạng một cách dễ dàng.

Trong các mạng nhỏ hoặc hộ gia đình, router thường đảm nhiệm vai trò của một máy chủ DHCP. Tuy nhiên, đối với các hệ thống mạng lớn hơn, router không thể quản lý hiệu quả việc cấp phát địa chỉ IP, do đó nhiệm vụ này được chuyển sang một máy chủ chuyên dụng để đảm bảo việc phân phối địa chỉ IP diễn ra suôn sẻ và ổn định.

Cách thức hoạt động của DHCP có thể được hiểu chi tiết hơn qua các bước sau: khi một thiết bị muốn kết nối vào mạng, nó sẽ gửi một yêu cầu đến máy chủ DHCP, gọi là gói tin DHCP DISCOVER. Khi nhận được yêu cầu này, máy chủ DHCP sẽ tìm kiếm một địa chỉ IP khả dụng và gửi lại thiết bị đó một gói tin DHCP OFFER chứa địa chỉ IP được cấp.

Sau khi nhận được gói tin DHCP OFFER, thiết bị sẽ phản hồi lại máy chủ bằng một gói tin DHCP REQUEST để yêu cầu sử dụng địa chỉ IP đó. Lúc này, máy chủ sẽ gửi một gói tin xác nhận ACK để thông báo rằng địa chỉ IP đã được cấp thành công cho thiết bị và xác định thời gian sử dụng địa chỉ IP đó cho đến khi cần cấp mới.

Ưu điểm và nhược điểm của DHCP là gì?

Ưu điểm của DHCP

Một số ưu điểm nổi bật của DHCP có thể được liệt kê như sau:

  1. Cấu hình tự động và kết nối dễ dàng: DHCP cho phép tự động cấu hình, giúp các thiết bị như máy tính, điện thoại và thiết bị thông minh khác kết nối mạng nhanh chóng và thuận tiện hơn.
  2. Gán địa chỉ IP hiệu quả: DHCP tự động gán địa chỉ IP cho từng thiết bị, giảm thiểu khả năng trùng lặp địa chỉ. Điều này đảm bảo hệ thống hoạt động ổn định và quản lý trở nên đơn giản hơn.
  3. Thiết lập tự động IP: DHCP hỗ trợ cài đặt mặc định và tự động nhận địa chỉ IP, đảm bảo rằng mọi thiết bị muốn kết nối đều có thể nhận địa chỉ IP và giao tiếp với mạng.
  4. Quản lý dễ dàng: DHCP cho phép quản lý địa chỉ IP và các tham số TCP/IP thông qua một giao diện duy nhất, giúp việc theo dõi và quản lý trở nên thuận tiện hơn.
  5. Cập nhật cấu hình hiệu quả: Người quản lý có thể dễ dàng thay đổi cấu hình và các thông số, giúp quá trình cập nhật hệ thống diễn ra nhanh chóng và hiệu quả.
  6. Khả năng di chuyển linh hoạt: Các thiết bị có thể tự do di chuyển giữa các mạng và tự động nhận địa chỉ IP mới, giúp duy trì kết nối liên tục.
  7. Giao diện quản lý và ghi nhật ký: Máy chủ DHCP cung cấp giao diện quản lý và chức năng ghi nhật ký, hỗ trợ quản trị viên trong việc theo dõi và quản lý các địa chỉ IP. Khi máy chủ DHCP gặp sự cố, các client vẫn giữ được địa chỉ IP hiện tại mà không gây gián đoạn cho các node cuối.
  8. Hỗ trợ cho IPv6: Một số tổ chức chọn chuyển DHCP cho IPv6 ra khỏi router/switch và thiết lập trên một hạ tầng máy chủ DHCP mạnh mẽ. Điều này thường diễn ra ở những tổ chức đang triển khai IPv6, nhằm đảm bảo rằng quản lý DHCP cho cả hai giao thức diễn ra đồng bộ. Các doanh nghiệp cũng có thể sử dụng máy chủ DHCP giao thức kép để cung cấp địa chỉ IPv4 và IPv6 cho các thiết bị client, tăng cường tính linh hoạt và hiệu quả trong quản lý mạng.

Nhược điểm của DHCP

Bên cạnh những ưu điểm, DHCP cũng có một số nhược điểm và hạn chế nhất định:

  1. IP động không phù hợp với thiết bị cố định: DHCP sử dụng địa chỉ IP động, điều này có thể không phù hợp với các thiết bị cố định như máy in hoặc máy chủ file.
  2. Hiệu suất không cao với máy in: Đối với các máy in gia đình hoặc văn phòng, việc gán địa chỉ IP liên tục không mang lại hiệu quả tối ưu. Mỗi khi máy in kết nối với một máy tính khác, nó sẽ phải cập nhật cài đặt để có thể kết nối, điều này gây bất tiện và làm giảm hiệu suất sử dụng.

Lợi ích của DHCP Server chuyên dụng

Một giải pháp hiệu quả hơn so với việc sử dụng DHCP trên router/switch là triển khai một máy chủ DHCP tập trung. Điều này đặc biệt quan trọng trong các môi trường mạng cần hỗ trợ đồng thời DHCP cho cả IPv4 và IPv6. Hầu hết các nhà cung cấp máy chủ DHCP đều cung cấp tính năng hỗ trợ cả hai giao thức, giúp bạn quản lý chúng qua một giao diện duy nhất.

Lợi ích khi sử dụng DHCPv6

Cung cấp khả năng hiển thị cho các client hỗ trợ IPv6 là rất quan trọng. Bạn cũng sẽ muốn có chức năng tương tự cho IPv4, đặc biệt khi không gian địa chỉ IPv4 ngày càng hạn chế. Việc theo dõi phạm vi DHCP của bạn và xác định thời gian thuê (lease time) có đủ hay không là cần thiết, nhất là khi có nhiều hệ thống BYOD tham gia vào mạng của bạn.

Máy chủ DHCP cung cấp giao diện quản lý và chức năng ghi nhật ký, giúp quản trị viên quản lý hiệu quả phạm vi địa chỉ IP. Bạn nên đánh giá những gì đang có trên mạng của mình, bất kể phiên bản IP nào đang được sử dụng.

Máy chủ DHCP cũng có khả năng dự phòng và đảm bảo tính khả dụng cao. Nếu một máy chủ DHCP gặp sự cố, các client sẽ giữ nguyên địa chỉ IP hiện tại mà không gây gián đoạn cho các nút cuối.

Các tổ chức thường ưa chuộng những máy chủ DHCPv6 đã được thử nghiệm và kiểm tra kỹ lưỡng. Chẳng hạn, máy chủ Infoblox DHCPv6 đã được phòng thí nghiệm chứng nhận USGv6 công nhận là “IPv6 Ready”.

Các thông điệp giao tiếp giữa DHPC server và DHCP Client

  1. DHCP Discover: Đây là gói tin được gửi từ thiết bị đến máy chủ DHCP khi thiết bị cần một địa chỉ IP để truy cập mạng.
  2. DHCP Offer: Sau khi nhận được gói DHCP Discover, máy chủ DHCP sẽ gửi phản hồi gọi là DHCP Offer. Gói tin này chứa địa chỉ IP và các cấu hình TCP/IP bổ sung.
  3. DHCP Request: Đây là gói tin mà client gửi đến máy chủ DHCP để xác nhận việc chấp nhận địa chỉ IP được đề xuất trong gói DHCP Offer.
  4. DHCP Acknowledge: Đây là gói tin mà máy chủ DHCP gửi lại client để xác nhận rằng địa chỉ IP trong DHCP Request đã được chấp nhận, đồng thời cung cấp các tham số tùy chọn để client có thể truy cập vào mạng TCP/IP và hoàn tất quá trình khởi động.
  5. DHCP Nak: Nếu client không còn sử dụng địa chỉ IP do nó đã hết hạn hoặc đã được chuyển giao cho người dùng khác, máy chủ DHCP sẽ gửi gói tin DHCP Nak. Gói tin này được gửi từ máy chủ đến client khi nhận được yêu cầu từ một địa chỉ IP không hợp lệ theo cấu hình scope đã định.
  6. DHCP Decline: Trong trường hợp client xác định rằng thông tin đề nghị không hợp lệ, nó sẽ gửi gói tin DHCP Decline đến máy chủ, yêu cầu bắt đầu lại quá trình thuê bao.
  7. DHCP Release: Đây là gói tin được client gửi đến máy chủ để giải phóng địa chỉ IP, cho phép xóa bất kỳ địa chỉ IP nào còn tồn tại.

Khi nào thì cần sử dụng router/switch như một máy chủ DHCP?

Hiện nay, nhiều doanh nghiệp vẫn đang sử dụng DHCP cho IPv4 trên router của họ. Việc này thường được thực hiện bởi quản trị viên mạng. Tuy nhiên, họ không thể truy cập được vào máy chủ DHCP khi cần mở rộng tốc độ và khả năng của DHCP. Hầu hết các router, switch đều có khả năng cung cấp các dịch vụ hỗ trợ máy chủ DHCP như:

  • Một client DHCP và lấy địa chị IPv4 từ một dịch vụ DHCP upstream.
  • Một máy chủ DHCP mà qua đó router/switch trực tiếp request. Tuy nhiên, việc sử dụng router như một server DHCP thường bị hạn chế.
  • Chạy máy chủ DHCP trên một router/switch sẽ tiêu tốn tài nguyên trên thiết bị mạng. Các gói này được xử lý trong phần mềm. Có nghĩa là không phải chuyển mạch tốc độ cao đến các phần cứng. Nhưng các tài nguyên cần thiết khiến nó không phù hợp với các mạng có lượng client DHCP lớn (>150).
  • Không hỗ trợ DNS động và bộ router/switch DHCP không thể đại diện Client để DNS Entry dựa trên địa chỉ IPv4 của Client.
  • Khó quản lý phạm vi DHCP trên nhiều bộ router. Quản trị viên phải đăng nhập vào các router riêng lẻ để thu thập thông tin về DHCP.
  • Tính khả dụng thấp vì việc này có thể gây lỗi nếu máy chủ DHCP hiện tại và cổng mặc định đồng thời gặp lỗi.
  • Khó cấu hình các tùy chọn DHCP trên nền tảng router/switch.
  • Dịch vụ DHCP chạy trên một bộ router/switch không được tích hợp với hệ thống quản lý địa chỉ IP (IP address management – IPAM) để theo dõi địa chỉ, phạm vi sử dụng hoặc bảo mật.

Hạn chế khi sử dụng router/switch làm DHCP Server

Việc chạy máy chủ DHCP trên router/switch sẽ tiêu tốn tài nguyên của thiết bị mạng. Các gói tin DHCP được xử lý qua phần mềm, điều này làm cho phương pháp này không phù hợp với các mạng có số lượng client DHCP lớn (trên 150 thiết bị).

Hơn nữa, các router/switch thường không hỗ trợ DNS động, do đó máy chủ DHCP trên thiết bị này không thể đại diện cho client để tạo mục entry vào DNS dựa trên địa chỉ IPv4 đã được cấp cho client.

Quản lý phạm vi DHCP và theo dõi các DHCP bindings hiện tại, cũng như khoảng thời gian mà client giữ địa chỉ IP (lease), trở nên khó khăn hơn trên nhiều router. Quản trị viên phải đăng nhập vào từng router/switch riêng lẻ để thu thập thông tin về các DHCP bindings.

Ngoài ra, tính khả dụng của các DHCP bindings là thấp, và không có cơ chế dư thừa, điều này có thể gây ra sự cố nếu cả máy chủ DHCP hiện tại và cổng mặc định đều gặp sự cố.

Việc cấu hình các tùy chọn DHCP trên nền tảng router/switch cũng thường gặp khó khăn, và dịch vụ DHCP không được tích hợp với hệ thống quản lý địa chỉ IP (IPAM), dẫn đến việc không thể theo dõi địa chỉ, phạm vi sử dụng, hoặc đảm bảo an ninh cho các dữ liệu này.

Các cuộc tấn công có thể xảy ra với DHCP

Máy chủ DHCP Client bất hợp pháp

Trong trường hợp này, client sẽ bị xâm nhập và liên tục gửi yêu cầu địa chỉ IP đến server. Trong khi đó, server sẽ tự động cấp địa chỉ IP cho các client cho đến khi không còn địa chỉ nào khả dụng. Hậu quả là sẽ không còn địa chỉ IP dành cho các client hợp pháp, dẫn đến sự không ổn định trong hệ thống và nhiều thiết bị không thể truy cập vào mạng. Kiểu tấn công này rất đơn giản, tiêu tốn ít băng thông và không mất nhiều thời gian để thực hiện.

Máy chủ DHCP server bất hợp pháp

Khi các kẻ tấn công xâm nhập và phá vỡ hệ thống bảo vệ mạng, họ có khả năng nắm giữ và kiểm soát máy chủ DHCP. Từ đó, họ có thể điều khiển toàn bộ hệ thống mạng. Nếu máy chủ DHCP bị xâm nhập, có ba kiểu tấn công khác nhau có thể diễn ra:

  1. DNS redirect: Tấn công này liên quan đến việc thay đổi cài đặt DNS của các máy trạm, dẫn đến việc người dùng truy cập vào các trang web giả mạo hoặc độc hại. Những trang này có thể chứa phần mềm độc hại hoặc virus nhằm mục đích đánh cắp thông tin của người dùng.
  2. DDoS hệ thống mạng: Trong trường hợp này, kẻ tấn công sẽ khởi tạo một dải IP và subnet mask để làm cho các máy trạm không thể đăng nhập, dẫn đến tình trạng tấn công từ chối dịch vụ (DDoS) trên mạng.
  3. Man-in-the-middle: Đây là kiểu tấn công mà cổng mặc định được chuyển hướng tới máy của kẻ tấn công. Từ đó, kẻ tấn công có thể đánh cắp và sao chép thông tin người dùng. Cách thức hoạt động của kiểu tấn công này là khi có yêu cầu từ client gửi đến gateway, yêu cầu sẽ được chuyển qua máy của kẻ tấn công trước khi được gửi lại. Tuy nhiên, với kiểu tấn công này, kẻ tấn công chỉ có thể xem nội dung của các gói tin gửi ra ngoài mạng, trong khi nội dung gửi từ bên ngoài về máy trạm client sẽ không thể xem được.

Vậy các giải pháp bảo mật DHCP là gì?

Các giải pháp bảo mật DHCP sẽ khác nhau tùy thuộc vào từng loại tấn công. Dưới đây là một số giải pháp bảo mật được liệt kê:

Với các kiểu tấn công DHCP Client bất hợp pháp

  • Một giải pháp bảo mật hiệu quả là sử dụng switch, vì thiết bị này có khả năng bảo mật cao. Switch có thể giới hạn số lượng địa chỉ MAC được sử dụng trên một cổng, giúp ngăn chặn tình trạng quá nhiều địa chỉ MAC hoạt động cùng một lúc trên cùng một cổng.Với giải pháp này, nếu số lượng địa chỉ IP vượt quá giới hạn quy định, cổng sẽ tự động bị khóa và ngừng cung cấp dịch vụ. Cổng chỉ hoạt động trở lại khi thời gian được quản trị viên thiết lập đã đến.

Đối với tấn công DDoS

  • Giải pháp cho tình trạng này hiện đã trở nên dễ dàng hơn với sự trợ giúp của các dịch vụ chống DDoS. Các dịch vụ này có thể can thiệp và bảo vệ hệ thống mạng cũng như website của bạn. Tấn công DDoS ngày càng phổ biến và thường xảy ra với các hệ thống, do kẻ tấn công cố tình gây rối.

Với kiểu tấn công Man-in-the-middle

Đối với kiểu tấn công này, một giải pháp hiệu quả là sử dụng các switch có tính năng bảo mật DHCP Snooping. Phương pháp này giúp hạn chế các kết nối DHCP đến các cổng không đáng tin cậy; chỉ những cổng được cho phép mới có thể nhận phản hồi DHCP.

Một số giải pháp khác để bảo mật DHCP server

  • Sử dụng hệ thống file NTFS để lưu trữ dữ liệu.
  • Thường xuyên cập nhật các phần mềm trên hệ điều hành.
  • Tiến hành quét virus định kỳ.
  • Xóa và vô hiệu hóa các ứng dụng, phần mềm không đáng tin cậy.
  • Áp dụng tường lửa cho máy chủ DHCP.

Kết luận

DHCP (Dynamic Host Configuration Protocol) là giao thức tự động hóa quá trình cấp phát địa chỉ IP và cấu hình mạng cho các thiết bị trong mạng. Giao thức này giúp tiết kiệm thời gian cho người quản trị mạng và đảm bảo rằng các thiết bị có thể kết nối và hoạt động hiệu quả mà không cần cấu hình thủ công.

Tại công ty VPSTTT, DHCP Server hoạt động theo quy trình sau:

  1. DHCP Discover: Khi một thiết bị mới kết nối vào mạng, nó gửi gói tin DHCP Discover để tìm kiếm máy chủ DHCP.
  2. DHCP Offer: DHCP Server nhận gói tin này và phản hồi bằng gói DHCP Offer, cung cấp một địa chỉ IP cùng với các thông tin cấu hình mạng cần thiết.
  3. DHCP Request: Thiết bị gửi gói tin DHCP Request để xác nhận địa chỉ IP mà nó muốn sử dụng.
  4. DHCP Acknowledge: Cuối cùng, DHCP Server gửi gói tin DHCP Acknowledge để xác nhận rằng thiết bị đã được cấp địa chỉ IP và các thông số cấu hình.

Thông qua quy trình này, VPSTTT có thể quản lý hiệu quả việc cấp phát địa chỉ IP cho hàng nghìn thiết bị, đảm bảo tính ổn định và bảo mật cho mạng. Việc sử dụng DHCP không chỉ giúp tăng cường hiệu quả quản lý mạng mà còn tối ưu hóa quy trình làm việc của các nhân viên trong công ty.

Ảnh bìa (2)