|
}}</ref> tetapi piwaian lakar telah luput. Piwaian lakar mencadangkan pelayan berganda, satu utama dan satu sokongan. Pelayan sokongan menjejak pemberian alamat IP yang dibuat oleh pelayan utama dan mengambil aluk sekiranya pelayan utama gagal.
==SecurityKeselamatan==
{{Close paraphrasing|section|date=March 2009}}
TheAsas basicprotokol DHCP protocolmenjadi becamepiwaian asebelum standardkeselamatan beforerangkaian [[networkmenjadi security]]isu becamepenting: aia significanttermasuk issue:tidak itmemiliki includesciri-ciri no security featureskeselamatan, and is potentiallyia vulnerableberpontensi tolemah twokepada typesdua ofjenis attacksserangan:<ref>[http://www.tcpipguide.com/free/t_DHCPSecurityIssues.htm The TCP/IP Guide - Security Issues]</ref>
* Pelayan DHCP Tidak Sah : kerana anda tidak dapat menetapkan pelayan yang anda mahu, pelayan tidak sah mampu membalas permohonan pelanggan, menghantar tatarajah pelanggan yang menguntungkan penyerang. Sebagai contoh, hacker boleh merampas proses DHCP untuk menatarajah pelanggan untuk menggunakan sistem nama Domain jahat atau penghala (lihat juga Keracunan cache DNS).
* [[Rogue DHCP|Unauthorized DHCP Servers]]: as you cannot specify the server you want, an unauthorized server can respond to client requests, sending client network configuration values that are beneficial to the attacker. As an example, a hacker can hijack the DHCP process to configure clients to use a malicious [[Domain name system|DNS]] server or router (see also [[DNS cache poisoning]]).
* Pelanggan DHCP Tidak sah: Dengan menyamar sebagai pelanggan sah, pelanggan tidak sah boleh mendapatkan capaian kepada tatarajah rangkaian dan alamat IP pada rangkaian yang sepatutnya ia tidak dibenarkan menggunakannya. Juga, dengan melempahkan pelayan DHCP dengan permohonan alamat IP, ia adalah mungkin bagi penyerang untuk menghabiskan kumpulan alamat IP yang tersedia, mengganggu aktiviti normal rangkian (satu serangan penafian perkhidmatan).
* Unauthorized DHCP Clients: By [[Spoofing attack|masquerading]] as a legitimate client, an unauthorized client can gain access to network configuration and an IP address on a network it should otherwise not be allowed to use. Also, by flooding the DHCP server with requests for IP addresses, it is possible for an attacker to exhaust the pool of available IP addresses, disrupting normal network activity (a [[denial of service attack]]).
Bagi menentang ancaman ini RFC 3118 ("Authentication for DHCP Messages") memperkenalkan maklumat pengesahan ke dalam perutusan DHCP, membenarkan pelayan dan pelanggan untuk menolak maklumat daripada sumber tidak sah. Sungguhpun sokongan bagi protokol ini meluas, sejumlah besar pelayan dan pelanggan masih tidak menyokong pengesahan sepenuhnya, dengan itu memaksa pelayan bagi menyokong pelanggan yang tidak menyokong ciri ini. Hasilnya, langkah keselamatan lain biasanya dilaksanakan sekitar pelayan DHCP (seperti [[IPsec]]) bagi memastikan hanya pelanggan dan pelayan sah diberikan capaian kepada rangkaian.
To combat these threats RFC 3118 ("Authentication for DHCP Messages") introduced authentication information into DHCP messages, allowing clients and servers to reject information from invalid sources. Although support for this protocol is widespread, a large number of clients and servers still do not fully support authentication, thus forcing servers to support clients that do not support this feature. As a result, other security measures are usually implemented around the DHCP server (such as [[IPsec]]) to ensure that only authenticated clients and servers are granted access to the network.
Alamat perlu dikaitkan secara dinamik kepada pelayan DNS selamat, untuk membolehkan penyelesaian masalah menggunakan nama dan bukannya dengan potensi alamat yang tidak dikenali Sambungan DHCP-DNS berkesan perlu memiliki fail samaada alamat MAC atau nama-nama tempatan yang akan dihantar ke DNS yang unik untuk mengenalpasti host fizikal, alamat IP, dan parameter lain seperti get lalai, topeng subjaring, dan alamat IP dari pelayan sistem nama Domain DNS dari pelayan DHCP. Pelayan DHCP menjamin bahawa semua alamat IP adalah unik, iaitu, tidak ada alamat IP diberikan kepada pelanggan kedua sedangkan tugasan pelanggan pertama masih sah (''sewanya'' belum luput). Dengan itu pengurusan himpunan alamat IP dilakukan oleh pelayan dan tidak oleh pentadbir rangkaian.
Addresses should be dynamically linked to a secure DNS server, to allow troubleshooting by name rather than by a potentially unknown address.{{Citation needed|date=August 2009}} Effective DHCP-DNS linkage requires having a file of either MAC addresses or local names that will be sent to DNS that uniquely identifies physical hosts, IP addresses, and other parameters such as the [[default gateway]], [[Subnetwork|subnet mask]], and IP addresses of [[Domain name system|DNS]] servers from a DHCP server. The DHCP server ensures that all IP addresses are unique, i.e., no IP address is assigned to a second client while the first client's assignment is valid (its ''lease'' has not expired). Thus IP address pool management is done by the server and not by a network administrator.'''
==Rujukan==
| 