DHCP
Qu'est-ce que DHCP ?
DHCPProtocole basé sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et paramètres de configuration réseau aux clients qui rejoignent un réseau.
Le Dynamic Host Configuration Protocol, spécifié par la RFC 2131 pour IPv4 et la RFC 8415 pour IPv6 (DHCPv6), automatise l'attribution d'adresses IP et la distribution de paramètres réseau tels que le masque de sous-réseau, la passerelle par défaut, les serveurs DNS, les serveurs NTP et les options de démarrage PXE. L'échange classique est DORA — Discover, Offer, Request, Acknowledge — transporté sur les ports UDP 67 (serveur) et 68 (client).
sequenceDiagram participant C as Client participant S as Serveur DHCP participant R as Serveur pirate C->>S: DHCPDISCOVER (diffusion) R-->>C: DHCPOFFER (pirate, plus rapide) S->>C: DHCPOFFER (légitime) C->>R: DHCPREQUEST (accepte la première / pirate) R-->>C: DHCPACK + DNS/passerelle de l'attaquant Note over C,R: La victime route désormais via l'attaquant
Le protocole d'origine n'ayant aucune authentification, deux attaques dominent. Dans une attaque rogue DHCP, un serveur hostile prend de vitesse le serveur légitime pour répondre aux messages DISCOVER et distribue des valeurs de passerelle ou de DNS contrôlées par l'attaquant, permettant une interception en interception (on-path). Dans la famine DHCP (DHCP starvation), un outil tel que Yersinia inonde de DISCOVER avec des adresses MAC usurpées afin d'épuiser le pool d'adresses, souvent comme préparation à l'installation d'un serveur pirate. La RFC 3118 a défini une authentification des messages, mais elle reste pour l'essentiel non déployée. Les mesures d'atténuation pratiques se situent sur le commutateur : le DHCP snooping marque les ports de liaison montante de confiance et construit une table de liaison des tuples IP/MAC/port légitimes ; cette table alimente ensuite la Dynamic ARP Inspection et l'IP Source Guard. Combinez-les avec la port security pour plafonner le nombre d'adresses MAC par port et un contrôle d'admission basé sur 802.1X.
● Exemples
- 01
Un ordinateur portable rejoignant le Wi-Fi reçoit 192.168.1.45/24, passerelle 192.168.1.1 et DNS 1.1.1.1 du point d'accès.
- 02
Un attaquant branche un serveur DHCP pirate qui dirige les victimes vers un résolveur DNS malveillant.
● Questions fréquentes
Qu'est-ce que DHCP ?
Protocole basé sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et paramètres de configuration réseau aux clients qui rejoignent un réseau. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DHCP ?
Protocole basé sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et paramètres de configuration réseau aux clients qui rejoignent un réseau.
Comment se défendre contre DHCP ?
Les défenses contre DHCP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DHCP ?
Noms alternatifs courants : Protocole de configuration dynamique d'hote.