DHCP
Что такое DHCP?
DHCPПротокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети.
Dynamic Host Configuration Protocol определён в RFC 2131 для IPv4 и в RFC 8415 для IPv6 (DHCPv6). Он автоматизирует выдачу IP-адресов и распространение параметров: маски подсети, шлюза по умолчанию, DNS- и NTP-серверов, опций PXE-загрузки. Классический обмен — DORA: Discover, Offer, Request, Acknowledge, по UDP на портах 67 (сервер) и 68 (клиент). Поскольку исходный протокол не предусматривает аутентификации, вредоносный DHCP-сервер в локальной сети может раздавать подменённые шлюз и DNS — атака rogue DHCP. Меры защиты: DHCP snooping на коммутаторах, port-security, IP source guard, dynamic ARP inspection и контроль допуска по 802.1X.
● Примеры
- 01
Ноутбук, подключившийся к Wi-Fi, получает от точки доступа 192.168.1.45/24, шлюз 192.168.1.1 и DNS 1.1.1.1.
- 02
Злоумышленник подключает поддельный DHCP-сервер и направляет жертв на вредоносный DNS-резолвер.
● Частые вопросы
Что такое DHCP?
Протокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DHCP?
Протокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети.
Как работает DHCP?
Dynamic Host Configuration Protocol определён в RFC 2131 для IPv4 и в RFC 8415 для IPv6 (DHCPv6). Он автоматизирует выдачу IP-адресов и распространение параметров: маски подсети, шлюза по умолчанию, DNS- и NTP-серверов, опций PXE-загрузки. Классический обмен — DORA: Discover, Offer, Request, Acknowledge, по UDP на портах 67 (сервер) и 68 (клиент). Поскольку исходный протокол не предусматривает аутентификации, вредоносный DHCP-сервер в локальной сети может раздавать подменённые шлюз и DNS — атака rogue DHCP. Меры защиты: DHCP snooping на коммутаторах, port-security, IP source guard, dynamic ARP inspection и контроль допуска по 802.1X.
Как защититься от DHCP?
Защита от DHCP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DHCP?
Распространённые альтернативные названия: Протокол динамической конфигурации хоста.
● Связанные термины
- network-security№ 553
IP-адрес
Числовой идентификатор, назначаемый сетевому интерфейсу для маршрутизации в IP-сетях: 32 бита в IPv4 (RFC 791) или 128 бит в IPv6 (RFC 8200).
- network-security№ 1113
Подсеть
Непрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
- network-security№ 1188
UDP
Транспортный протокол без установления соединения (RFC 768), доставляющий отдельные датаграммы между портами с минимальными накладными расходами, без гарантий надёжности и порядка.
- network-security№ 061
ARP
Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
- network-security№ 1206
VLAN
Виртуальная локальная сеть (IEEE 802.1Q) объединяет порты коммутатора в отдельные широковещательные домены, помечая кадры Ethernet 12-битным идентификатором VLAN.
- attacks№ 343
Подмена DNS
Атака, при которой подделанные DNS-ответы перенаправляют жертву с легитимного домена на IP-адрес, контролируемый злоумышленником.