DHCP
Was ist DHCP?
DHCPUDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationen zuweist.
Das Dynamic Host Configuration Protocol nach RFC 2131 (IPv4) und RFC 8415 (DHCPv6) automatisiert die IP-Adressvergabe und liefert Parameter wie Subnetzmaske, Standardgateway, DNS-Server, NTP-Server oder PXE-Boot-Optionen. Der klassische Ablauf ist DORA: Discover, Offer, Request, Acknowledge uber UDP-Port 67 (Server) und 68 (Client). Da das Protokoll nativ keine Authentifizierung kennt, kann ein bosartiger DHCP-Server im LAN angreifergesteuerte Gateway- oder DNS-Werte verteilen (Rogue DHCP). Gegenmassnahmen sind DHCP Snooping auf Switches, Port-Security, IP Source Guard, Dynamic ARP Inspection und 802.1X-basierte Zugangskontrolle.
● Beispiele
- 01
Ein Laptop erhalt beim WLAN-Beitritt 192.168.1.45/24, Gateway 192.168.1.1 und DNS 1.1.1.1 vom Access Point.
- 02
Ein Angreifer schliesst einen Rogue-DHCP-Server an, der Opfer auf einen schadhaften DNS-Resolver lenkt.
● Häufige Fragen
Was ist DHCP?
UDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationen zuweist. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DHCP?
UDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationen zuweist.
Wie funktioniert DHCP?
Das Dynamic Host Configuration Protocol nach RFC 2131 (IPv4) und RFC 8415 (DHCPv6) automatisiert die IP-Adressvergabe und liefert Parameter wie Subnetzmaske, Standardgateway, DNS-Server, NTP-Server oder PXE-Boot-Optionen. Der klassische Ablauf ist DORA: Discover, Offer, Request, Acknowledge uber UDP-Port 67 (Server) und 68 (Client). Da das Protokoll nativ keine Authentifizierung kennt, kann ein bosartiger DHCP-Server im LAN angreifergesteuerte Gateway- oder DNS-Werte verteilen (Rogue DHCP). Gegenmassnahmen sind DHCP Snooping auf Switches, Port-Security, IP Source Guard, Dynamic ARP Inspection und 802.1X-basierte Zugangskontrolle.
Wie schützt man sich gegen DHCP?
Schutzmaßnahmen gegen DHCP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DHCP?
Übliche alternative Bezeichnungen: Dynamisches Host-Konfigurationsprotokoll.
● Verwandte Begriffe
- network-security№ 553
IP-Adresse
Numerische Kennung einer Netzwerkschnittstelle fur das Routing in IP-Netzen: 32 Bit bei IPv4 (RFC 791) oder 128 Bit bei IPv6 (RFC 8200).
- network-security№ 1113
Subnetz
Zusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
- network-security№ 1188
UDP
Ein verbindungsloses Transportprotokoll (RFC 768), das einzelne Datagramme mit minimalem Overhead zwischen Ports zustellt, ohne Zuverlassigkeits- oder Reihenfolgegarantien.
- network-security№ 061
ARP
Sicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden konnen.
- network-security№ 1206
VLAN
Ein virtuelles LAN (IEEE 802.1Q) gruppiert Switch-Ports in getrennte Broadcast-Domanen, indem Ethernet-Frames mit einer 12-Bit-VLAN-ID getaggt werden.
- attacks№ 343
DNS-Spoofing
Angriff, der gefälschte DNS-Antworten einschleust, um Opfer von einer legitimen Domain auf eine vom Angreifer kontrollierte IP-Adresse umzuleiten.