DHCP(Dynamic Host Configuration Protocol ) 에 대해 알아보겠습니다.

Ⅰ. DHCP(Dynamic Host Configuration Protocol ) 정의

DHCP(Dynamic Host Configuration Protocol)는 네트워크 상의 장치에 자동으로 IP 주소와 기타 네트워크 구성 정보를 할당하는 프로토콜입니다. DHCP 서버는 네트워크에 연결된 장치들이 수동으로 IP 설정을 할 필요 없이 자동으로 네트워크 설정을 받아오는 역할을 하는 프로토콜입니다.

Ⅱ. DHCP(Dynamic Host Configuration Protocol ) 특징

ⅰ. 자동화된 IP 할당: DHCP 서버는 네트워크 장치에 IP 주소, 서브넷 마스크, 게이트웨이, DNS 서버 등의 정보를 자동으로 할당합니다.
ⅱ. 중앙 집중 관리: 네트워크 관리자는 DHCP 서버를 통해 중앙에서 IP 주소를 관리할 수 있으며, 이는 수동 설정보다 효율적입니다.
ⅲ. IP 주소의 재사용: DHCP는 IP 주소를 임대(lease) 형태로 할당하며, 사용되지 않는 IP 주소를 다른 장치에 재할당할 수 있습니다.
ⅳ. 간편한 네트워크 확장: 새로운 장치가 네트워크에 연결될 때마다 수동으로 IP를 할당할 필요가 없어, 네트워크 확장이 쉽습니다.

Ⅲ. DHCP(Dynamic Host Configuration Protocol ) 동작 순서

네트워크 장치(클라이언트)가 IP 주소를 자동으로 할당받기 위해 DHCP 서버와 통신하는 과정을 의미합니다. 이 과정을DORA 라고 표현하며, DORA는 Discover, Offer, Request, Acknowledge의 각 단계를 의미합니다.

ⅰ. Discover (탐색) : 클라이언트가 DHCP 서버를 찾기 위해 브로드캐스트 메시지를 전송
클라이언트가 네트워크에 처음 연결되면, 자신에게 IP 주소를 할당해 줄 DHCP 서버를 찾기 위해 브로드캐스트 메시지(Discover 메시지)를 전송합니다.
이 메시지는 네트워크에 연결된 모든 장치에게 전달되며, "내게 IP 주소를 할당해 줄 DHCP 서버가 있는가?"라는 요청을 의미합니다.
ⅱ. Offer (제안) : DHCP 서버가 클라이언트에게 IP 주소를 제안
네트워크 상에 있는 DHCP 서버는 클라이언트의 Discover 메시지를 받고, IP 주소를 제공할 수 있다는 응답으로 DHCP Offer 메시지를 보냅니다.
이 메시지에는 클라이언트에게 제안된 IP 주소, 서브넷 마스크, 게이트웨이, DNS 서버 정보 등이 포함됩니다. 또한, IP 주소를 임대할 수 있는 임대 기간(lease time)도 포함됩니다.
DHCP Offer 메시지도 브로드캐스트 또는 유니캐스트로 전송될 수 있습니다.
ⅲ. Request (요청) : 클라이언트가 하나의 DHCP 서버를 선택하여 IP 주소 할당을 요청
클라이언트는 여러 DHCP 서버로부터 Offer 메시지를 받을 수 있으며, 그중 하나의 서버를 선택하여 그 서버에 IP 주소 할당 요청(Request 메시지)을 보냅니다.
Request 메시지에는 선택한 DHCP 서버와 그 서버로부터 제공받고자 하는 IP 주소가 포함됩니다.
이 단계에서도 메시지는 브로드캐스트 방식으로 전송되어, 다른 DHCP 서버들도 선택되지 않았다는 사실을 알 수 있습니다.
ⅳ. Acknowledge (승인) DHCP 서버가 IP 주소 할당을 승인하고, 클라이언트는 네트워크 설정을 완료
선택된 DHCP 서버는 클라이언트의 Request 메시지를 받아들여 DHCP Ack(Acknowledgement) 메시지를 클라이언트에게 보냅니다.이 메시지를 통해 클라이언트는 최종적으로 IP 주소와 네트워크 설정 정보를 할당받게 됩니다.
 DHCP 서버가 IP 주소를 할당할 수 없는 상황이라면, DHCP Nack(Negative Acknowledgement) 메시지를 보내 클라이언트의 요청을 거부할 수도 있습니다.

Ⅳ. DHCP Spoofing 이란?

 DHCP 스푸핑(DHCP Spoofing)은 악의적인 사용자가 네트워크 상에서 비정상적인 DHCP 서버를 설정하여 클라이언트에게 잘못된 네트워크 정보를 제공하는 공격 기법입니다. 이를 통해 공격자는 트래픽을 가로채거나, 네트워크 장애를 유발하거나, 데이터를 탈취할 수 있습니다.

Ⅴ. DHCP Spoofing 공격의 특징

네트워크 혼란 유발: 공격자는 악성 DHCP 서버를 통해 클라이언트에 잘못된 IP 주소, 게이트웨이, DNS 서버 등의 정보를 제공하여 네트워크 혼란을 초래할 수 있습니다.
트래픽 가로채기: 클라이언트가 공격자가 제어하는 게이트웨이 또는 DNS 서버를 사용하게 만들어 트래픽을 가로채고 분석할 수 있습니다.
네트워크 서비스 방해: 잘못된 네트워크 설정으로 인해 정상적인 네트워크 통신이 불가능해지거나, 서비스 거부(DoS) 상태를 유발할 수 있습니다.

Ⅵ. DHCP Spoofing 공격 원리

ⅰ. 악성 DHCP 서버 설정: 공격자는 네트워크 상에 자신의 악성 DHCP 서버를 설정합니다.
ⅱ. DHCP 요청 가로채기: 클라이언트가 DHCP 서버에 IP 주소를 요청하면, 공격자의 악성 DHCP 서버가 응답을 가로채거나 더 빠르게 응답하여 클라이언트에게 잘못된 네트워크 설정 정보를 제공합니다.
ⅲ. 잘못된 네트워크 정보 할당: 클라이언트는 악성 DHCP 서버로부터 IP 주소, 게이트웨이, DNS 서버 정보를 받아 네트워크를 잘못 구성하게 됩니다.
ⅳ. 트래픽 가로채기 또는 서비스 방해: 클라이언트의 트래픽이 공격자의 의도에 따라 가로채어지거나, 네트워크 서비스가 중단될 수 있습니다.

Ⅶ. DHCP Spoofing 공격 방법

 ⅰ. 악성 DHCP 서버 설치: 공격자는 자신이 제어하는 장치에 DHCP 서버 소프트웨어를 설치하고, 네트워크 상의 다른 DHCP 서버보다 빠르게 응답하도록 설정합니다.
ⅱ. 네트워크 스니핑: 공격자는 네트워크 상의 DHCP 트래픽을 스니핑하여 클라이언트의 DHCP 요청에 악성 응답을 제공합니다.
ⅲ. ARP 스푸핑과 결합: ARP 스푸핑과 함께 사용하여 네트워크 트래픽을 중간에서 가로채거나 변조할 수 있습니다.

Ⅷ. DHCP Spoofing 대응 방법

ⅰ. DHCP 스누핑(DHCP Snooping) 활성화: 스위치에서 DHCP 스누핑 기능을 활성화하여 비신뢰 DHCP 서버의 DHCP 응답을 차단하고, 신뢰할 수 있는 DHCP 서버만이 클라이언트에게 응답할 수 있도록 설정합니다.
ⅱ. 포트 보안 설정: 네트워크 스위치에서 포트 보안을 설정하여 비인가 장치가 DHCP 서버 역할을 수행하는 것을 방지합니다.
ⅲ. 신뢰할 수 있는 네트워크 설계: DHCP 서버를 네트워크의 신뢰할 수 있는 구역에 위치시키고, 클라이언트가 DHCP 서버와 통신할 때 중간에 가로채이지 않도록 네트워크를 설계합니다.
ⅳ. 네트워크 모니터링: 네트워크 트래픽을 실시간으로 모니터링하여 비정상적인 DHCP 응답이나 DHCP 서버 활동을 탐지하고 차단합니다.
ⅴ. VLAN 및 ACL 사용: 가상 LAN(VLAN) 및 접근 제어 목록(ACL)을 사용하여 네트워크 세그먼트 간의 트래픽을 제어하고, 공격자의 접근을 제한합니다.