DHCP Starvation Attack

Als DHCP Starvation Attack wird ein Angriff auf ein Computernetzwerk bezeichnet, bei dem der gesamte Bereich verfügbarer und durch DHCP vergebener IP-Adressen auf einen einzigen Client registriert werden. Die automatische Zuweisung von Netzwerkadressen an andere Rechner wird so unmöglich gemacht.

Arbeitsweise

Die DHCP Starvation Attack (Angriff durch Aushungern) ist ein Angriff gegen ein Computer-Netzwerk.

Dieser Angriff nutzt aus, dass die früher unveränderbar an die Hardware gebundene MAC-Adresse bei vielen Netzwerkschnittstellen frei konfigurierbar ist. Bei einer DHCP Starvation Attack wird unter Verwendung einer Vielzahl gefälschter MAC-Adressen jeweils eine automatische oder dynamische IP-Adresse beim DHCP-Server angefordert. Dies geschieht so lange, bis der verfügbare Adressraum des DHCP-Servers aufgebraucht ist und dieser keine Adressen mehr bereitstellen kann. Die Anmeldung weiterer Netzwerkclients ist dann nicht mehr möglich.

Die Störwirkung einer DHCP Starvation Attack ist begrenzt auf ein Subnetz, ein Angriff kann nur aus diesem Subnetz heraus erfolgen und hat keine Folgen für den Weiterbetrieb zuvor angemeldeter DHCP-Clients oder Clients mit fest zugewiesener IP-Adresse. Sofern der Angriff nicht weitergeführt wird, werden durch den Lease-Mechanismus von DHCP dynamisch vergebene Adressen nach einiger Zeit (üblicherweise mehrere Tage) automatisch wieder freigegeben. Bei automatisch vergebenen Adressen hilft das Löschen des Server-Cache weiter.

Die Möglichkeit eines solchen Angriffes wird bereits im RFC 2131 in Abschnitt 7 Security Considerations wie folgt geschildert: Malicious DHCP clients could masquerade as legitimate clients and retrieve information intended for those legitimate clients. Where dynamic allocation of resources is used, a malicious client could claim all resources for itself, thereby denying resources to legitimate clients.

Ein solcher Angriff wirkt sich nur auf die dynamisch vergebenen IP-Adressen aus, da bei den statischen Adressen im DHCP Server eine Zuordnungstabelle vorliegt, die jeder statischen IP-Adresse eine MAC-Adresse zuweist. Hier müsste ein entsprechender Client also alle dort registrierten MAC-Adressen kennen und sich als diese ausgeben. Zusätzlich haben die meisten DHCP Server in einem solchen Fall die Möglichkeit Clients zu erkennen, die nicht mehr aktiv sind und können diese dann automatisch aus der Liste dynamisch vergebener IP-Adressen entfernen.

Da DHCP normalerweise nur in lokalen Netzwerken, die durch eine Firewall vom Internet abgeschottet sind, verwendet wird, muss ein solcher Angriff durch ein entsprechendes Schadprogramm erfolgen, welches sich auf einem Client Computer des lokalen Netzwerkes befindet.