DHCP
DHCP 是什么?
DHCP基于 UDP 的协议(RFC 2131,67/68 端口),用于自动为加入网络的客户端分配 IP 地址和网络配置参数。
动态主机配置协议(DHCP)在 IPv4 中由 RFC 2131 规定,在 IPv6 中由 RFC 8415(DHCPv6)规定,可自动分配 IP 地址并下发子网掩码、默认网关、DNS 服务器、NTP 服务器和 PXE 启动等参数。经典交换过程为 DORA:Discover、Offer、Request、Acknowledge,使用 UDP 67(服务器)和 68(客户端)端口。原始协议不带身份验证,局域网内的恶意 DHCP 服务器可下发由攻击者控制的网关或 DNS,即“流氓 DHCP”攻击。缓解措施包括交换机上的 DHCP Snooping、端口安全、IP Source Guard、动态 ARP 检测以及基于 802.1X 的接入控制。
● 示例
- 01
一台连入 Wi-Fi 的笔记本从接入点获取 192.168.1.45/24、网关 192.168.1.1 和 DNS 1.1.1.1。
- 02
攻击者接入一台流氓 DHCP 服务器,将受害者指向恶意 DNS 解析器。
● 常见问题
DHCP 是什么?
基于 UDP 的协议(RFC 2131,67/68 端口),用于自动为加入网络的客户端分配 IP 地址和网络配置参数。 它属于网络安全的 网络安全 分类。
DHCP 是什么意思?
基于 UDP 的协议(RFC 2131,67/68 端口),用于自动为加入网络的客户端分配 IP 地址和网络配置参数。
DHCP 是如何工作的?
动态主机配置协议(DHCP)在 IPv4 中由 RFC 2131 规定,在 IPv6 中由 RFC 8415(DHCPv6)规定,可自动分配 IP 地址并下发子网掩码、默认网关、DNS 服务器、NTP 服务器和 PXE 启动等参数。经典交换过程为 DORA:Discover、Offer、Request、Acknowledge,使用 UDP 67(服务器)和 68(客户端)端口。原始协议不带身份验证,局域网内的恶意 DHCP 服务器可下发由攻击者控制的网关或 DNS,即“流氓 DHCP”攻击。缓解措施包括交换机上的 DHCP Snooping、端口安全、IP Source Guard、动态 ARP 检测以及基于 802.1X 的接入控制。
如何防御 DHCP?
针对 DHCP 的防御通常结合技术控制与运营实践,详见上方完整定义。
DHCP 还有哪些其他名称?
常见的别称包括: 动态主机配置协议。
● 相关术语
- network-security№ 553
IP 地址
分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- network-security№ 1113
子网
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
- network-security№ 1188
UDP
RFC 768 定义的无连接传输协议,以最小开销在端口之间传送独立数据报,但不保证可靠性或顺序。
- network-security№ 061
ARP
RFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便交换机能够投递帧。
- network-security№ 1206
VLAN
虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
- attacks№ 343
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。