DHCP
¿Qué es DHCP?
DHCPProtocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de configuración de red a los clientes que se incorporan a una red.
El Dynamic Host Configuration Protocol, especificado en la RFC 2131 para IPv4 y en la RFC 8415 para IPv6 (DHCPv6), automatiza la asignación de direcciones IP y la distribución de parámetros de red como la máscara de subred, la puerta de enlace predeterminada, los servidores DNS, los servidores NTP y las opciones de arranque PXE. El intercambio clásico es DORA —Discover, Offer, Request, Acknowledge—, transportado sobre UDP en los puertos 67 (servidor) y 68 (cliente).
sequenceDiagram participant C as Cliente participant S as Servidor DHCP participant R as Servidor fraudulento C->>S: DHCPDISCOVER (difusión) R-->>C: DHCPOFFER (fraudulento, más rápido) S->>C: DHCPOFFER (legítimo) C->>R: DHCPREQUEST (acepta el primero/fraudulento) R-->>C: DHCPACK + DNS/gateway del atacante Note over C,R: La víctima ahora enruta a través del atacante
Como el protocolo original no autentica, predominan dos ataques. En un ataque de rogue DHCP, un servidor hostil compite con el legítimo para responder a los mensajes DISCOVER y entrega valores de puerta de enlace o DNS controlados por el atacante, lo que permite la interceptación on-path. En el DHCP starvation, una herramienta como Yersinia inunda con DISCOVERs usando direcciones MAC falsificadas para agotar el pool de direcciones, a menudo como preparación para el servidor fraudulento. La RFC 3118 definió la autenticación de mensajes, pero prácticamente no se ha desplegado. Las mitigaciones prácticas residen en el switch: el DHCP snooping marca los puertos de enlace ascendente como confiables y construye una tabla de enlaces (binding table) con las tuplas legítimas de IP/MAC/puerto; esa tabla alimenta después la Dynamic ARP Inspection y el IP Source Guard. Combina todo esto con port security para limitar el número de direcciones MAC por puerto y con el control de admisión basado en 802.1X.
● Ejemplos
- 01
Un portátil que se conecta al Wi-Fi recibe 192.168.1.45/24, gateway 192.168.1.1 y DNS 1.1.1.1 del punto de acceso.
- 02
Un atacante conecta un servidor DHCP fraudulento que dirige a las víctimas a un resolver DNS malicioso.
● Preguntas frecuentes
¿Qué es DHCP?
Protocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de configuración de red a los clientes que se incorporan a una red. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DHCP?
Protocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de configuración de red a los clientes que se incorporan a una red.
¿Cómo defenderse de DHCP?
Las defensas contra DHCP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DHCP?
Nombres alternativos comunes: Protocolo de configuración dinámica de host.