DHCP
Qu'est-ce que DHCP ?
DHCPProtocole base sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et parametres reseau aux clients qui rejoignent un reseau.
Le Dynamic Host Configuration Protocol, specifie par la RFC 2131 pour IPv4 et la RFC 8415 pour IPv6 (DHCPv6), automatise l'attribution d'adresses IP et la distribution de parametres reseau tels que masque de sous-reseau, passerelle, serveurs DNS, NTP ou options de demarrage PXE. L'echange classique est DORA : Discover, Offer, Request, Acknowledge sur UDP ports 67 (serveur) et 68 (client). Le protocole d'origine n'authentifiant rien, un serveur DHCP malveillant sur le LAN peut distribuer une passerelle ou un DNS controles par un attaquant (rogue DHCP). Les contre-mesures incluent DHCP snooping sur les commutateurs, port-security, IP source guard, dynamic ARP inspection et controle d'admission 802.1X.
● Exemples
- 01
Un ordinateur portable rejoignant le Wi-Fi recoit 192.168.1.45/24, passerelle 192.168.1.1 et DNS 1.1.1.1 du point d'acces.
- 02
Un attaquant branche un serveur DHCP pirate qui dirige les victimes vers un resolveur DNS malveillant.
● Questions fréquentes
Qu'est-ce que DHCP ?
Protocole base sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et parametres reseau aux clients qui rejoignent un reseau. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DHCP ?
Protocole base sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et parametres reseau aux clients qui rejoignent un reseau.
Comment fonctionne DHCP ?
Le Dynamic Host Configuration Protocol, specifie par la RFC 2131 pour IPv4 et la RFC 8415 pour IPv6 (DHCPv6), automatise l'attribution d'adresses IP et la distribution de parametres reseau tels que masque de sous-reseau, passerelle, serveurs DNS, NTP ou options de demarrage PXE. L'echange classique est DORA : Discover, Offer, Request, Acknowledge sur UDP ports 67 (serveur) et 68 (client). Le protocole d'origine n'authentifiant rien, un serveur DHCP malveillant sur le LAN peut distribuer une passerelle ou un DNS controles par un attaquant (rogue DHCP). Les contre-mesures incluent DHCP snooping sur les commutateurs, port-security, IP source guard, dynamic ARP inspection et controle d'admission 802.1X.
Comment se défendre contre DHCP ?
Les défenses contre DHCP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DHCP ?
Noms alternatifs courants : Protocole de configuration dynamique d'hote.
● Termes liés
- network-security№ 553
Adresse IP
Identifiant numerique attribue a une interface reseau pour le routage sur les reseaux IP : 32 bits en IPv4 (RFC 791) ou 128 bits en IPv6 (RFC 8200).
- network-security№ 1113
Sous-reseau
Plage contigue d'adresses IP partageant un prefixe commun, definissant un unique domaine de diffusion et une frontiere de routage sur le reseau.
- network-security№ 1188
UDP
Protocole de transport sans connexion (RFC 768) qui delivre des datagrammes individuels entre ports avec une surcharge minimale, sans garantie de fiabilite ni d'ordre.
- network-security№ 061
ARP
Protocole de couche liaison (RFC 826) qui associe une adresse IPv4 a l'adresse MAC d'un hote du meme domaine de diffusion afin que les trames puissent etre livrees.
- network-security№ 1206
VLAN
Un VLAN (IEEE 802.1Q) regroupe des ports de commutateur en domaines de diffusion distincts en taguant les trames Ethernet avec un VLAN ID sur 12 bits.
- attacks№ 343
Usurpation DNS
Attaque qui injecte des réponses DNS falsifiées pour rediriger les victimes d'un domaine légitime vers une adresse IP contrôlée par l'attaquant.