Vorgänge beim Aufruf einer Webseite - Teil 1/4 (DHCP - Protokoll):

Das DHCP Protokoll (Dynamic Host Configuration Protocol) erlaubt die automatisierte Vergabe von IP Konfigurationsdaten durch einen DCHP Server. Voraussetzung für eine erfolgreiche Adressierung ist, dass sich Client und Server in der gleichen Broadcast Domäne befinden. Die Vergabe der IP Adresse erfolgt meist zeitlich begrenzt. Das bedeutet, dass die IP Adresse nach dem Ausloggen anderen Netzwerkteilnehmern wieder zur Verfügung steht. Dies ist insbesondere für mobile Endgeräte nützlich, da durch den Client keine weiteren Daten abgefragt werden müssen. Befindet sich der Client und der Server in verschiedenen Subnetzen, kann ein Router, welcher die verschiedenen Subnetze verbindet, als DHCP-Relay Server verwendet werden. Eine solche zentralisierte DHCP Server Architektur ist dann vorteilhaft, wenn auf eine zentrale Zuteilung der Konfigurationsdaten wertgelegt wird.

Neben der IP Adresse können durch das DHCP Protokoll auch Informationen zur Netzwerkmaske, zum Default Gateway oder zu einem DNS Server übermittelt werden. Da der zu konfigurierende Host anfangs keinerlei IP Adresskonfiguration besitzt, kann eine Kennung nur über die Link-Layer Schicht erfolgen.

 

Sicherheitsrelevante Überlegungen bei der Verwendung von DHCP Servern:

DHCP Starvation Attack: Dieser Angriff basiert auf einer fortwährenden Vergabe von IP-Adressen auf sich ständig ändernde MAC Adressen. Die Vergabe erfolgt so lange, bis der Pool an frei verfügbaren IP Adressen erschöpft ist. Neu hinzukommende Clients erhalten keine IP Adresse mehr. Anschließend kann eine neuer, aber kompromittierter DHCP Sever Clients falsche DNS Serveradressen zuteilen, um schadhafte Webseiten zu laden.

Rogue DHCP: Ein Rogue DHCP Server schaltet sich zusätzlich zu einem vorhanden DHCP Server in ein Netzwerk ein. In folge dessen, stellt sich eine Konkurrenzsituation ein, bei der der Rogue Server schneller Antworten verteilt als der reguläre DHCP Server. Dadurch wird es möglich, manipulierte Daten an angeschlossene Clients zu verteilen.

 

Das DHCP Protokoll im Detail:

Der Ablauf zum Austausch der Konfigurationsdaten erfolgt in vier Schritten. Die folgende Abbildung zeigt den Server-Client Konfigurationsaustausch, welcher per Wireshark aufgezeichnet worden ist.

1) Aufgrund noch fehlender IP Konfiguration, sendet der Client eine Discovery Nachricht, welche in einem UDP Paket gekapselt und an Port 67 gesendet wird. Das UDP Paket wiederum ist einem IP Datagramm gekapselt und ist mit der Absenderadresse 0.0.0.0 und der Zieladresse 255.255.255.255 versehen. Die Broadcastadresse führt dazu, dass jedes Netzwerkmitglied im selben Subnetz und damit auch der DHCP Server erreicht wird.

2) Im Anschluss erfolgt eine Offer-Nachricht des ausfindig gemachten Routers. Als Empfängeradresse wird erneut die Broadcastadresse 255.255.255.255 eingesetzt, da der Client zu diesem Zeitpunkt immer noch über keinerlei IP Konfiguration besitzt. Dies bedeutet, dass alle Hosts im Subnetz diese Offer-Nachricht erhalten. Allerdings besitzt die zuvor versandte Discovery Nachricht eine Client ID welche auf der MAC Adresse des Clients basiert. Wird diese also vom DHCP Server wiederum im Broadcastframe verpackt, erkennt der Client die an ihn gerichtete Offer-Nachricht.

3) Es folgt eine DHCP Request Nachricht mit Konfigurationsparametern des Hosts, welche an den DHCP Server gesendet wird.

4) Der DHCP Server antwortet daraufhin mit einer DHCP-ACK Nachricht oder sendet eine DHCP-NAK Signal, welches die angebotenen Konfigurationsparameter zurückzieht.

Add comment

Submit

We use cookies on our website. Some of them are essential for the operation of the site, while others help us to improve this site and the user experience (tracking cookies). You can decide for yourself whether you want to allow cookies or not. Please note that if you reject them, you may not be able to use all the functionalities of the site.