DHCP-processen

DHCP (Dynamic Host Configuration Protocol) är en grundläggande nätverkstjänst som automatiskt tilldelar IP-adresser och andra viktiga nätverksparametrar till klienter. Tack vare DHCP kan datorer, mobiltelefoner och andra enheter ansluta till nätverket utan att användaren manuellt behöver konfigurera IP-adress, gateway eller DNS-server.

När en klient ansluts till nätverket genomförs en standardiserad process mellan klienten och DHCP-servern. Denna process används i nästan alla moderna nätverk och gör administrationen betydligt enklare.

För att förstå hur DHCP-attacker fungerar är det först viktigt att förstå hur den normala DHCP-processen går till.

DHCP process

Figuren illustrerar den normala DHCP-processen, ofta kallad DORA (Discover, Offer, Request, Acknowledge). Processen beskriver hur en klient får sin IP-konfiguration från en DHCP-server.

Processen steg-för-steg:

  1. DHCPDISCOVER (broadcast) – Klienten har ännu ingen IP-adress och skickar därför ett broadcast-meddelande i nätverket: “Finns det någon DHCP-server som kan IP-konfigurera mig?
    Eftersom klienten inte känner till DHCP serverns IP-adress används broadcast.
  2. DHCPOFFER (oftast unicast) – DHCP-servern svarar med ett erbjudande som innehåller:
    • IP-adress (t.ex. 192.168.10.15)
    • Subnätmask (255.255.255.0)
    • Standard gateway (192.168.10.1)
    • DNS-server
    • Leasingtid (t.ex. 3 dagar)
    • Servern säger i praktiken: “Här är en IP-konfiguration du kan använda.
  3. DHCPREQUEST (broadcast) – Klienten accepterar ett av erbjudandena och skickar ett broadcast-meddelande: “Jag väljer detta erbjudande.” Broadcast meddelandet används för att informera alla DHCP-servrar om vilken server som valdes.
  4. DHCPACK (unicast) – Den valda servern bekräftar konfigurationen genom att skicka ett DHCPACK-meddelande: “Du får använda denna IP-konfiguration” Klienten får nu använda den tilldelade IP-konfigurationen och kan börja kommunicera i nätverket.

Sammanfattning

DHCP automatiserar tilldelningen av nätverksinformation och gör det möjligt för klienter att snabbt ansluta till nätverket utan manuell konfigurering. Processen bygger på kommunikationen mellan klient och DHCP-server genom de fyra stegen Discover, Offer, Request och Acknowledge.

Samtidigt saknar DHCP inbyggd autentisering. Klienten kontrollerar inte om DHCP-servern som svarar verkligen är legitim. Detta skapar en säkerhetsrisk som kan utnyttjas av angripare.

I nästa avsnitt beskrivs hur en DHCP spoofing-attack fungerar och hur en falsk DHCP-server kan lura klienter att använda manipulerad nätverkskonfiguration.