Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 348

DHCP

Revisado porCybersecurity entrepreneur & security researcher

O que é DHCP?

DHCPProtocolo baseado em UDP (RFC 2131, portas 67/68) que atribui automaticamente endereços IP e parâmetros de configuração de rede a clientes que entram numa rede.


O Dynamic Host Configuration Protocol, especificado pela RFC 2131 para IPv4 e pela RFC 8415 para IPv6 (DHCPv6), automatiza a atribuição de endereços IP e a distribuição de parâmetros de rede como máscara de sub-rede, gateway padrão, servidores DNS, servidores NTP e opções de boot PXE. A troca clássica é o DORA — Discover, Offer, Request, Acknowledge — transportado sobre as portas UDP 67 (servidor) e 68 (cliente).

sequenceDiagram
  participant C as Cliente
  participant S as Servidor DHCP
  participant R as Servidor rogue
  C->>S: DHCPDISCOVER (broadcast)
  R-->>C: DHCPOFFER (rogue, mais rápido)
  S->>C: DHCPOFFER (legítimo)
  C->>R: DHCPREQUEST (aceita o primeiro/rogue)
  R-->>C: DHCPACK + DNS/gateway do atacante
  Note over C,R: A vítima passa a rotear através do atacante

Como o protocolo original não tem autenticação, dois ataques dominam. Num ataque de DHCP rogue, um servidor hostil compete com o legítimo para responder às mensagens DISCOVER e distribui valores de gateway ou DNS controlados pelo atacante, permitindo interceção on-path. Numa DHCP starvation, uma ferramenta como o Yersinia inunda DISCOVERs com endereços MAC falsificados para esgotar o pool de endereços, frequentemente como preparação para o servidor rogue. A RFC 3118 definiu a autenticação de mensagens, mas é essencialmente não implementada. As mitigações práticas vivem no switch: o DHCP snooping marca as portas de uplink confiáveis e constrói uma tabela de associações com os tuplos IP/MAC/porta legítimos; essa tabela alimenta depois a Dynamic ARP Inspection e o IP Source Guard. Combine isto com port security para limitar o número de endereços MAC por porta e com controlo de admissão baseado em 802.1X.

Exemplos

  1. 01

    Um laptop que entra no Wi-Fi recebe 192.168.1.45/24, gateway 192.168.1.1 e DNS 1.1.1.1 do ponto de acesso.

  2. 02

    Um atacante conecta um servidor DHCP rogue que aponta as vítimas para um resolver DNS malicioso.

Perguntas frequentes

O que é DHCP?

Protocolo baseado em UDP (RFC 2131, portas 67/68) que atribui automaticamente endereços IP e parâmetros de configuração de rede a clientes que entram numa rede. Pertence à categoria Segurança de rede da cibersegurança.

O que significa DHCP?

Protocolo baseado em UDP (RFC 2131, portas 67/68) que atribui automaticamente endereços IP e parâmetros de configuração de rede a clientes que entram numa rede.

Como se defender contra DHCP?

As defesas contra DHCP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para DHCP?

Nomes alternativos comuns: Dynamic Host Configuration Protocol.

Termos relacionados