DHCP — это протокол, который автоматически назначает узлу допустимый IP-адрес из пула DHCP. DHCP используется для выделения адресов клиентам практически так же давно, как и протокол TCP/IP. Можно выполнить два типа атак DHCP на коммутируемые сети: атаки истощения ресурсов и DHCP-спуфинг.
При атаках истощения ресурсов DHCP злоумышленник создает лавинную рассылку из DHCP-запросов на DHCP-сервер, чтобы использовать все доступные IP-адреса, которые может назначить сервер DHCP. После распределения всех IP-адресов, которые могут быть назначены DHCP-сервером, происходит отказ в обслуживании (DoS-атака), поскольку новые клиенты не могут получить доступ к сети. DoS-атака — это любая атака, которая используется для перегрузки конкретных устройств и сетевых сервисов несанкционированным трафиком, вследствие чего разрешённый трафик не может получить доступ к этим ресурсам.
При DHCP-спуфинге злоумышленник настраивает в сети ненастоящий DHCP-сервер, чтобы выдавать для клиентов DHCP-адреса. Цель этой атаки — заставить клиентов использовать ложную службу доменных имен (DNS) и Windows-службу имён Internet (сервер WINS), а также использовать узел или устройство злоумышленника в качестве шлюза по умолчанию.
Перед DHCP-спуфингом часто используется атака истощения ресурсов DHCP для отказа обслуживания санкционированного DHCP-сервера, благодаря чему гораздо проще внедрить в сеть фиктивный DHCP-сервер.
Для снижения риска атак DHCP следует использовать функции отслеживания DHCP и безопасности порта на коммутаторах Cisco Catalyst. Данные функции будут рассмотрены подробно позднее.