Использование динамической адресации в домене MS Windows и сетях Linux дает улучшение общей управляемостью в сети, т. к. отпадает необходимость в дополнительных издержках, например, при смене адресации. Но при этом следует учесть и требования безопасности, налагаемые на задействование DCHP адресации. А именно, крайне желательно иметь активное сетевое управляемое оборудование, которое позволяет автоматически переадресовывать DHCP запросы непосредственно на легальный сервер DHCP, это так называемая функция DHCP redirect у управляемых коммутаторов. Задействование данной функции позволит минимизировать негативные последствия в случае появления в сети ложного DHCP сервера. Кроме того, следует запретить получение данных для DHCP клиентов и сервера (-ов) от нелегитимных источников (IP адресов), для чего можно воспользоваться средствами фильтрации трафика IPSec/iptables по портам для клиентов DHCP и серверов DHCP. От пролучения пакетов, созданных генераторами пакетов это не защитит, при умелой генерации, но таких профессионалов среди народных умельцев, как правило, не наблюдается в локальных сетях. Но и от этой напасти есть весьма простой и действенный способ – всегда имеется возможность перезапустить службу DHCP. Еще больше усилит безопасность клиентов и серверов при динамической адресации использование возможностей изоляции доменов для сетей Windows и аналогичные возможности IpSec в сетях Linux. В этом случае извне никто не сможет нарушить сетевую безопасность, просто подключившись к локальной сети организации. А вычисление народных умельцев, которые хулиганят в рабочее время, станет лишь делом техники, а точнее умелого использования сочетания средств управления сетью и средств мониторинга сети.
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d0%b4%d0%b8%d0%bd%d0%b0%d0%bc%d0%b8%d1%87%d0%b5%d1%81%d0%ba%d0%be%d0%b9-%d0%b0%d0%b4%d1%80%d0%b5%d1%81%d0%b0%d1%86%d0%b8/
DCCP – протокол транспортного уровня, принят в качестве стандарта в 2006 году, впервые был включён в ядро 2.6.14, более полное описание можно получить обратившись к RFC 4340. Предназначен для улучшения функционирования потоковых приложений. По-умолчанию не задействован в ядрах различных дистрибутивов Linux, т. к. до сих пор находится в экспериментальной ветке.
Для его включения необходимо выполнить следующее:
modprobe dccp #Включаем протокол dccp
modprobe xt_dccp #Включаем модуль отслеживания соединений по протоколу dccp средствами iptables
sysctl -w net.dccp.default.seq_window=10000 #Устанавливаем размер окна по-умолчанию
sysctl -w net.ipv4.tcp_ecn = 1 #Включаем управление перегрузкой, которое зависит от модуля dccp
Рекомендую включить данный модуль (dccp), т. к. отзывчивость и работоспособность сети значительно улучшится, при этом не забываем также включать модуль xt_dccp для возможности контроля за данным протоколом. Но не стоит забывать и о безопасности, я имею ввиду ECN.
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b2%d0%ba%d0%bb%d1%8e%d1%87%d0%b5%d0%bd%d0%b8%d0%b5-%d0%bf%d1%80%d0%be%d1%82%d0%be%d0%ba%d0%be%d0%bb%d0%b0-dccp-%d0%b2-os-linux/
