DHCP
Что такое DHCP?
DHCPПротокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети.
Dynamic Host Configuration Protocol, описанный в RFC 2131 для IPv4 и RFC 8415 для IPv6 (DHCPv6), автоматизирует выдачу IP-адресов и распространение сетевых параметров, таких как маска подсети, шлюз по умолчанию, DNS-серверы, NTP-серверы и опции PXE-загрузки. Классический обмен — DORA: Discover, Offer, Request, Acknowledge — по UDP на портах 67 (сервер) и 68 (клиент).
sequenceDiagram participant C as Клиент participant S as DHCP-сервер participant R as Поддельный сервер C->>S: DHCPDISCOVER (широковещание) R-->>C: DHCPOFFER (поддельный, быстрее) S->>C: DHCPOFFER (легитимный) C->>R: DHCPREQUEST (принимает первый/поддельный) R-->>C: DHCPACK + DNS/шлюз атакующего Note over C,R: Жертва теперь маршрутизирует через атакующего
Поскольку исходный протокол не предусматривает аутентификации, преобладают две атаки. При атаке rogue DHCP враждебный сервер опережает легитимный в ответах на сообщения DISCOVER и раздаёт контролируемые атакующим значения шлюза или DNS, что позволяет перехватывать трафик по схеме on-path. При DHCP starvation инструмент вроде Yersinia наводняет сеть сообщениями DISCOVER с поддельными MAC-адресами, исчерпывая пул адресов, — часто как подготовка к запуску поддельного сервера. RFC 3118 определил аутентификацию сообщений, но он практически не внедряется. Действенные меры защиты живут на коммутаторе: DHCP snooping помечает доверенные восходящие порты и строит таблицу привязок легитимных кортежей IP/MAC/порт; эта таблица затем питает Dynamic ARP Inspection и IP Source Guard. Сочетайте их с port security для ограничения числа MAC-адресов на порт и с контролем допуска на базе 802.1X.
● Примеры
- 01
Ноутбук, подключившийся к Wi-Fi, получает от точки доступа 192.168.1.45/24, шлюз 192.168.1.1 и DNS 1.1.1.1.
- 02
Злоумышленник подключает поддельный DHCP-сервер и направляет жертв на вредоносный DNS-резолвер.
● Частые вопросы
Что такое DHCP?
Протокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DHCP?
Протокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети.
Как защититься от DHCP?
Защита от DHCP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DHCP?
Распространённые альтернативные названия: Протокол динамической конфигурации хоста.