Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 348

DHCP

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist DHCP?

DHCPUDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationsparameter zuweist.


Das Dynamic Host Configuration Protocol, spezifiziert in RFC 2131 für IPv4 und RFC 8415 für IPv6 (DHCPv6), automatisiert die IP-Adressvergabe und die Verteilung von Netzwerkparametern wie Subnetzmaske, Standardgateway, DNS-Server, NTP-Server und PXE-Boot-Optionen. Der klassische Ablauf ist DORA – Discover, Offer, Request, Acknowledge – übertragen über die UDP-Ports 67 (Server) und 68 (Client).

sequenceDiagram
  participant C as Client
  participant S as DHCP-Server
  participant R as Rogue-Server
  C->>S: DHCPDISCOVER (Broadcast)
  R-->>C: DHCPOFFER (Rogue, schneller)
  S->>C: DHCPOFFER (legitim)
  C->>R: DHCPREQUEST (akzeptiert erstes/Rogue)
  R-->>C: DHCPACK + Angreifer-DNS/-Gateway
  Note over C,R: Opfer routet nun über den Angreifer

Da das ursprüngliche Protokoll keine Authentifizierung kennt, dominieren zwei Angriffe. Bei einem Rogue-DHCP-Angriff überholt ein bösartiger Server den legitimen beim Beantworten von DISCOVER-Nachrichten und verteilt angreifergesteuerte Gateway- oder DNS-Werte, was eine On-Path-Abhörung ermöglicht. Bei der DHCP-Starvation flutet ein Werkzeug wie Yersinia das Netz mit DISCOVERs unter gespooften MAC-Adressen, um den Adresspool zu erschöpfen – oft als Vorbereitung für den Rogue-Server. RFC 3118 definierte eine Nachrichtenauthentifizierung, ist aber praktisch nicht im Einsatz. Praktikable Gegenmaßnahmen liegen auf dem Switch: DHCP Snooping markiert vertrauenswürdige Uplink-Ports und baut eine Bindungstabelle legitimer IP/MAC/Port-Tupel auf; diese Tabelle speist dann Dynamic ARP Inspection und IP Source Guard. Kombiniere dies mit Port-Security, um die Zahl der MAC-Adressen pro Port zu begrenzen, sowie mit 802.1X-basierter Zugangskontrolle.

Beispiele

  1. 01

    Ein Laptop erhält beim WLAN-Beitritt 192.168.1.45/24, Gateway 192.168.1.1 und DNS 1.1.1.1 vom Access Point.

  2. 02

    Ein Angreifer schließt einen Rogue-DHCP-Server an, der Opfer auf einen schadhaften DNS-Resolver lenkt.

Häufige Fragen

Was ist DHCP?

UDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationsparameter zuweist. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.

Was bedeutet DHCP?

UDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationsparameter zuweist.

Wie schützt man sich gegen DHCP?

Schutzmaßnahmen gegen DHCP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für DHCP?

Übliche alternative Bezeichnungen: Dynamisches Host-Konfigurationsprotokoll.

Verwandte Begriffe