DHCP est le protocole qui affecte automatiquement à un hôte d'une adresse IP valide depuis un pool DHCP. L'utilisation de DHCP pour l'allocation d'adresses IP client remonte à l'avènement du protocole TCP/IP. Deux types d'attaques DHCP peuvent être menées contre un réseau commuté : l'épuisement des ressources DHCP et l'usurpation de DHCP.
Dans les attaques d'épuisement des ressources DHCP, un pirate inonde le serveur DHCP de requêtes DHCP afin d'utiliser toutes les adresses IP disponibles sur le serveur DHCP. Une fois que toutes les adresses IP ont été émises, le serveur ne peut plus fournir d'autre adresse. Cette situation se traduit par une attaque de déni de service (DoS) car les clients ne peuvent obtenir un accès au réseau. Une attaque DoS est définie comme une attaque utilisée pour surcharger certains périphériques et services réseau ciblés avec un trafic illégitime, empêchant ainsi le trafic légitime d'atteindre les ressources ciblées par l'attaque.
Dans les attaques par usurpation de DHCP, un pirate configure un faux serveur DHCP sur le réseau pour affecter des adresses DHCP aux clients. Cette attaque a généralement pour but de forcer les clients à utiliser un faux système de noms de domaine (DNS) ou Windows Internet Naming Service (WINS) et d'utiliser le serveur du pirate, ou une machine contrôlée par ce dernier, comme passerelle par défaut.
Une attaque d'épuisement des ressources DHCP est généralement menée avant une attaque par usurpation de DHCP, facilitant ainsi l'introduction d'un faux serveur DHCP sur le réseau.
Pour atténuer toute attaque DHCP, faites appel aux fonctions de sécurité des ports et de surveillance DHCP disponibles sur les commutateurs Cisco Catalyst. Ces fonctions sont traitées dans une autre rubrique.