DHCP (DORA)
Anwendung & Dienste
Was ist DHCP?
Das Dynamic Host Configuration Protocol (DHCP) vergibt automatisch IP-Adressen und weitere Netzwerkeinstellungen an Geräte im Netz. Ohne DHCP müsste man jedem Computer, Smartphone und Drucker von Hand eine IP-Adresse, das Standard-Gateway und die DNS-Server eintragen. Sobald sich ein Gerät mit dem Netzwerk verbindet, fragt es per DHCP nach einer gültigen Konfiguration. DHCP nutzt die UDP-Ports 67 (Server) und 68 (Client).
Der DORA-Ablauf
Die Adressvergabe läuft in vier Schritten, gemerkt als DORA:
| Schritt | Nachricht | Richtung | Bedeutung |
|---|---|---|---|
| D | DHCPDISCOVER | Client → Broadcast | „Gibt es hier einen DHCP-Server?“ |
| O | DHCPOFFER | Server → Client | Bietet eine freie IP an |
| R | DHCPREQUEST | Client → Broadcast | Fordert das Angebot verbindlich an |
| A | DHCPACK | Server → Client | Bestätigt die Zuweisung |
Client : DISCOVER (von 0.0.0.0, an 255.255.255.255) Server : OFFER 192.168.1.50 Client : REQUEST 192.168.1.50 Server : ACK Lease 24h, GW 192.168.1.1, DNS 192.168.1.1
Lease und Optionen
Eine zugewiesene Adresse gilt nur für eine bestimmte Zeit, die Lease. Vor Ablauf erneuert der Client sie automatisch (üblicherweise nach der Hälfte der Lease-Zeit). Neben der IP liefert DHCP über Optionen weitere Daten:
| Option | Inhalt |
|---|---|
| Subnetzmaske | z. B. 255.255.255.0 |
| Default Gateway | Router-Adresse fürs Internet |
| DNS-Server | Namensauflösung |
| Lease-Time | Gültigkeitsdauer |
DHCP-Relay
DHCP arbeitet mit Broadcasts, die normalerweise nicht über Router hinaus gelangen. In großen Netzen mit mehreren Subnetzen leitet ein DHCP-Relay (oft im Router/Switch) die Anfragen gezielt an einen zentralen DHCP-Server weiter. So reicht ein Server für viele Netzsegmente.
Sicherheitsbezug
Ein Rogue-DHCP-Server – ein unautorisierter Server im Netz – kann Clients ein falsches Gateway oder bösartige DNS-Server unterschieben und so den Datenverkehr umleiten (MITM). Schutz bietet DHCP-Snooping auf verwalteten Switches: Nur Antworten von vertrauenswürdigen Ports werden akzeptiert. Achte außerdem darauf, dass nur autorisierte DHCP-Server betrieben werden.