In einem Netzwerk mit 100 Geräten müsste jemand manuell 100 IP-Adressen, Subnetzmasken, Gateways und DNS-Server vergeben und pflegen – ein enormer Aufwand. Das Dynamic Host Configuration Protocol (DHCP) automatisiert diese Aufgabe vollständig.
DHCP ist ein Protokoll auf OSI-Schicht 7 das neu hinzukommenden Geräten automatisch alle nötigen Netzwerkkonfigurationen zuweist. Es basiert auf UDP und verwendet Port 67 (Server) und Port 68 (Client).
Parameter | Beispiel | Bedeutung |
|---|---|---|
192.168.1.105 | Eindeutige Adresse im Netzwerk | |
255.255.255.0 | Netzwerkgröße | |
Standard-Gateway | 192.168.1.1 | Router für externe Verbindungen |
DNS-Server | 8.8.8.8 | Für Namensauflösung |
Lease-Time | 86400 Sekunden | Wie lange die IP-Adresse gültig ist |
Domain-Name | firma.local | Interner Domainname (optional) |
NTP-Server | 192.168.1.1 | Zeitserver (optional) |
Die IP-Adressvergabe läuft in vier Schritten ab – bekannt als DORA:
Client Server
│ │
│──── DISCOVER ────────────────────▶│ Broadcast: "Gibt es einen DHCP-Server?"
│ (Broadcast – keine IP) │ (UDP, Quell-IP 0.0.0.0, Ziel 255.255.255.255)
│ │
│◀─── OFFER ───────────────────────│ "Ich biete dir 192.168.1.105 an"
│ (IP-Angebot) │
│ │
│──── REQUEST ─────────────────────▶│ Broadcast: "Ich nehme 192.168.1.105"
│ (Adresse anfordern) │ (Broadcast damit andere DHCP-Server wissen)
│ │
│◀─── ACK ─────────────────────────│ "Bestätigt – IP gehört dir für 24h"
│ (Bestätigung + Lease-Time) │
│ │
└── Netzwerk konfiguriert ──────────┘Schritt | Name | Beschreibung |
|---|---|---|
D | Discover | Client sendet Broadcast – sucht DHCP-Server |
O | Offer | Server bietet eine IP-Adresse an |
R | Request | Client fordert die angebotene Adresse an |
A | Acknowledge | Server bestätigt die Zuweisung mit allen Parametern |
Eine DHCP-Adresse ist nicht dauerhaft – sie wird für eine bestimmte Lease-Time vergeben. Vor Ablauf verlängert der Client automatisch:
Lease-Time: 24 Stunden (86.400 Sekunden)
Nach 50% der Lease-Time (12h):
→ Client sendet Unicast-REQUEST an seinen DHCP-Server
→ Server antwortet mit ACK (Verlängerung) oder NACK (abgelehnt)
Nach 87,5% der Lease-Time (21h):
→ Client sendet Broadcast-REQUEST (falls Server nicht antwortet)
→ Anderer DHCP-Server kann antworten
Nach 100%:
→ Client muss IP-Adresse freigeben
→ Neuer DORA-Prozess beginntTypische DHCP-Konfiguration:
Netzwerk: 192.168.1.0/24
DHCP-Pool: 192.168.1.100 – 192.168.1.200 (101 Adressen)
Statisch: 192.168.1.1 – 192.168.1.99 (Router, Server, Drucker)
Statische Reservierung (IP an MAC binden):
MAC: 00:1A:2B:3C:4D:5E → immer 192.168.1.150
→ Gerät bekommt immer dieselbe IP (z.B. Drucker, Server)DHCP-Discover-Pakete sind Broadcasts – sie verlassen das Subnetz nicht. In größeren Netzwerken mit mehreren Subnetzen wird ein DHCP-Relay-Agent benötigt:
Subnetz A Router DHCP-Server
Client ──DISCOVER──▶ Relay-Agent ──UNICAST──▶ DHCP-Server
◀─────── OFFER ──────────│
Client ◀── OFFER ───│Der Router leitet den Broadcast als Unicast an den zentralen DHCP-Server weiter. So kann ein einziger DHCP-Server mehrere Subnetze bedienen.
Fällt der DHCP-Server aus können keine neuen IP-Adressen vergeben werden. In Produktivumgebungen werden deshalb zwei DHCP-Server im Failover-Modus betrieben die den Adresspool teilen.
Angriff | Beschreibung | Schutz |
|---|---|---|
DHCP-Starvation | Angreifer erschöpft den DHCP-Pool mit gefälschten Anfragen | DHCP-Snooping, Port-Security |
Rogue DHCP-Server | Angreifer betreibt eigenen DHCP-Server um falsches Gateway zu vergeben (Man-in-the-Middle) | DHCP-Snooping am Switch |
DHCP-Snooping (Cisco-Switch):
ip dhcp snooping
ip dhcp snooping vlan 1
interface GigabitEthernet0/1
ip dhcp snooping trust ← Nur vertrauenswürdige Ports dürfen DHCP-Angebote sendenDHCP vergibt automatisch IP-Adresse, Subnetzmaske, Gateway und DNS-Server
DORA: Discover → Offer → Request → Acknowledge
DHCP basiert auf UDP – Port 67 (Server) und Port 68 (Client)
Discover und Request sind Broadcasts (Quell-IP 0.0.0.0)
Lease-Time bestimmt wie lange eine IP-Adresse gültig ist
Statische Reservierungen binden eine IP-Adresse an eine MAC-Adresse
DHCP-Relay ermöglicht zentralen DHCP-Server für mehrere Subnetze
DHCP-Snooping schützt vor Rogue-DHCP-Servern