DHCP Snooping

dhcp snooping cisco scénario avec un serveur DHCP malhonnête se faisant passer pour le serveur DHCP légitime dans un réseau

1. Introduction au DHCP Snooping

DHCP Snooping Cisco est une fonction de sécurité créée à l’origine par Cisco pour protéger votre réseau contre les serveurs DHCP malhonnêtes et l’épuisement des adresses IP.

Dans un réseau classique, DHCP simplifie la configuration en attribuant automatiquement les paramètres IP aux clients. Mais cette commodité s’accompagne d’un risque : des dispositifs malveillants peuvent se faire passer pour des serveurs DHCP et détourner le trafic ou refuser l’accès à d’autres utilisateurs.

Cette leçon vous montre comment les attaquants exploitent le DHCP et comment le DHCP Snooping défend votre réseau en filtrant les messages, en vérifiant les sources et en maintenant des zones de confiance.

Commençons par comprendre les deux principaux types d’attaques DHCP.

serveur dhcp cisco avec un routeur, un commutateur et un client demandant une adresse IP

Vous savez probablement déjà que le protocole DHCP (Dynamic Host Configuration Protocol) joue un rôle clé dans votre réseau.

Il attribue automatiquement aux appareils des configurations essentielles telles que

  • Adresses IP,
  • Masques de sous-réseau,
  • Passerelles par défaut,
  • Serveur DNS

Mais imaginons un scénario. Que se passerait-il si un dispositif malveillant se faisait passer pour le serveur DHCP de votre réseau ?

dhcp snooping cisco scénario avec un serveur DHCP malhonnête se faisant passer pour le serveur DHCP légitime dans un réseau

Deux menaces majeures peuvent survenir dans cette situation :

  • les attaques de type « Man-in-the-Middle » (MITM) (interception de vos données sensibles) ou
  • DHCP starvation (refusant l’accès au réseau à des appareils légitimes)

Cela semble alarmant, n’est-ce pas ? Ne vous inquiétez pas ! Avant d’expliquer comment le DHCP Snooping résout ces problèmes, nous allons d’abord décomposer les attaques DHCP : l’attaque Man-in-the-Middle et le DHCP Starvation.

Cela vous donnera le contexte dont vous avez besoin pour voir comment le DHCP Snooping protège votre réseau.

Entrons ensemble dans les détails !

2. Comprendre les attaques DHCP

Man-in-the-Middle Attack

Étape 1 – DHCP Discover

Lorsqu’un appareil se connecte au réseau, il commence par envoyer un message DHCP DISCOVER.

Scénario d'attaque dhcp snooping cisco montrant un message DHCP Discover envoyé par un client dans un réseau avec un serveur DHCP malhonnête

C’est comme demander : « Existe-t-il un serveur DHCP qui peut me donner une adresse IP ? »

À ce stade, tout est normal, l’appareil diffuse simplement sa demande à l’ensemble du réseau local.

Étape 2 – Le serveur malveillant arrive

Le message DISCOVER atteint à la fois le serveur DHCP légitime et un dispositif malhonnête qui se fait passer pour tel.

dhcp snooping cisco step showing DHCP Discover broadcast reaching both legitimate and rogue DHCP servers on the network (étape de dhcp snooping cisco montrant la diffusion de DHCP Discover atteignant des serveurs DHCP légitimes ou non sur le réseau)

Ce serveur malhonnête répond rapidement par une fausse OFFRE DHCP.

Étape 3 – Premier arrivé, premier servi

Les deux serveurs répondent par une OFFRE DHCP.

dhcp snooping cisco step showing both legitimate and rogue DHCP servers sending DHCP OFFER messages to the client (étape de dhcp snooping cisco montrant des serveurs DHCP légitimes ou non qui envoient des messages DHCP OFFER au client)

Le client acceptera généralement l’offre qui lui parviendra en premier, et c’est souvent celle qui est malhonnête.

Étape 4 – Offre malveillante acceptée

Le client reçoit d’abord l’OFFRE DHCP malveillante et l’accepte.

dhcp snooping cisco exemple montrant un client acceptant l'OFFRE DHCP d'un serveur malhonnête avant le serveur légitime

Step 5 – DHCP Request Sent

L’appareil confirme son choix en envoyant une demande DHCP REQUEST malhonnête.

Il accepte sans le savoir d’utiliser des paramètres réseau malveillants.

scénario dhcp snooping cisco dans lequel le client envoie une demande DHCP au serveur malhonnête confirmant l'utilisation de sa configuration malveillante.

Malheureusement, l’appareil n’a aucun moyen de savoir qu’il vient d’accepter les paramètres d’un serveur malveillant.
À ce stade, le serveur malveillant a réussi à tromper votre appareil avec une configuration IP malveillante.

Étape 6 – Configuration terminée

Le serveur malhonnête répond par un DHCP ACK, assignant :

  • Une adresse IP
  • Un masque de sous-réseau
  • Une passerelle par défaut pointant vers l’appareil de l’attaquant
  • Serveur DNS (éventuellement malveillant)
Exemple de dhcp snooping cisco montrant un serveur DHCP malhonnête envoyant un DHCP ACK avec des paramètres IP incorrects au client.

Étape 7

Désormais, tout le trafic de votre appareil est acheminé par l’attaquant.

diagramme dhcp snooping cisco montrant une attaque Man-in-the-Middle où le trafic est acheminé par un serveur DHCP malhonnête après avoir assigné des paramètres de passerelle malveillants.

Chaque paquet envoyé par votre appareil passe désormais par le serveur malhonnête avant d’atteindre sa destination.

À partir de là, l’attaquant peut

  • Intercepter vos données : Ils peuvent s’emparer d’informations sensibles telles que les mots de passe.
  • Manipulez votre trafic : Par exemple, en vous redirigeant vers de faux sites web qui semblent légitimes.

Il s’agit d’un exemple classique d’attaque de type « Man-in-the-Middle » qui montre comment le protocole DHCP peut être utilisé de manière abusive pour compromettre un réseau.

DHCP Starvation Attack

Contrairement à une attaque de type Man-in-the-Middle, l’objectif n’est pas d’intercepter le trafic, mais d’épuiser toutes les adresses IP disponibles afin que les utilisateurs légitimes ne puissent pas se connecter au réseau.

Inonder le serveur

L’attaquant commence par envoyer des centaines ou des milliers de messages DHCP DISCOVER en très peu de temps.

dhcp snooping cisco exemple d'une attaque de famine DHCP où un attaquant inonde le serveur DHCP avec des messages DHCP DISCOVER usurpés utilisant des adresses MAC différentes.

Voyons ce qu’il en est :

  1. Le dispositif de l’attaquant utilise une seule adresse MAC physique (exemple MAC1).
  2. Dans chaque message DHCP DISCOVER, il usurpe une adresse MAC de client différente dans le champ chaddr de l’en-tête DHCP.
  3. Le serveur DHCP estime que chaque message provient d’un client unique et attribue une adresse IP à chacun d’entre eux.
  4. Le pool d’adresses IP du serveur finit par être complètement épuisé.

Le résultat de l’attaque

Une fois le pool DHCP épuisé, tout nouvel appareil légitime essayant de rejoindre le réseau se verra refuser l’accès.

diagramme dhcp snooping cisco montrant un serveur DHCP incapable d'attribuer des adresses IP après une attaque de famine DHCP par un appareil malhonnête utilisant de faux clients

Que se passe-t-il maintenant ?

  • Les clients légitimes envoient des messages DHCP DISCOVER mais ne reçoivent aucune réponse.
  • Ils ne parviennent pas à obtenir d’adresses IP et ne peuvent pas rejoindre le réseau.
  • Les utilisateurs subissent une perte de connectivité, même si l’infrastructure du réseau est opérationnelle.

Maintenant que vous avez vu comment le DHCP peut être utilisé de manière abusive, voyons comment le DHCP Snooping empêche ces attaques et protège votre réseau.

3. Fonctionnement du DHCP Snooping

DHCP Snooping agit comme un pare-feu pour le trafic DHCP, il surveille ce qui entre, vérifie si c’est fiable et bloque tout ce qui est suspect.

Voyons comment fonctionne cette protection.

Zones de confiance (Trusted Area) et zones non fiables (Untrusted Area)

Pour appliquer efficacement les règles de sécurité, le commutateur doit séparer le réseau en deux zones :

dhcp snooping diagramme cisco montrant la division du réseau en zones de confiance et non de confiance pour filtrer le trafic DHCP

🟩 Trusted Area
Cela inclut les interfaces qui se connectent à des dispositifs connus et sécurisés tels que votre serveur DHCP ou votre routeur.

🟥 Untrusted Area
Il s’agit des ports utilisés par les appareils des utilisateurs finaux, où des serveurs DHCP malhonnêtes pourraient apparaître.

Filtrage des messages DHCP sur les ports

Une fois les ports classés, le commutateur applique des règles strictes :

dhcp snooping cisco diagramme montrant les ports de confiance et de non confiance sur un commutateur avec des règles de filtrage des messages DHCP

Sur les ports de confiance (Trusted Ports)

Tous les messages DHCP sont autorisés : DISCOVER, OFFER, REQUEST, ACK, etc.
Ces messages proviennent de votre serveur DHCP légitime.

diagramme dhcp snooping cisco montrant un port de confiance autorisant tous les messages DHCP provenant d'un serveur DHCP légitime

🚫 Sur les ports non fiables (Untrusted Ports)

Seuls les messages du client (comme DISCOVER ou REQUEST) sont autorisés.
Les messages de type serveur (OFFER, ACK, NAK) sont bloqués.

dhcp snooping diagramme cisco montrant le message du serveur DHCP bloqué sur un port non fiable pour empêcher la communication avec un serveur malhonnête

Cela empêche les serveurs DHCP malveillants d’attribuer de faux paramètres IP.

DHCP Snooping vérifie les Starvation Attacks

Qu’est-ce que DHCP Starvation?

DHCP Snooping inspecte tous les messages DHCP DISCOVER arrivant sur des ports non approuvés.

Voici l’astuce :
Il compare l’adresse MAC de la trame Ethernet avec le champ CHADDR de l’en-tête DHCP.

S’ils ne correspondent pas, c’est un signe d’usurpation d’identité et le commutateur laisse tomber le paquet.

dhcp snooping cisco empêche la famine du DHCP en inspectant les adresses MAC et CHADDR non concordantes dans les messages DHCP DISCOVER

Cette simple validation empêche les attaquants d’inonder le pool d’IP avec de faux clients.

DHCP Snooping Binding Table

Au fur et à mesure que le trafic DHCP est validé, le commutateur construit une table de liaison, une base de données dynamique de tous les clients DHCP légitimes.

Chaque entrée contient

  • Adresse MAC
  • Adresse IP
  • Port et VLAN
  • Durée du bail
dhcp snooping cisco montrant la table de liaison DHCP Snooping avec l'adresse MAC, l'IP, le bail, le VLAN et les informations sur l'interface.

Cette fonction aide les administrateurs à vérifier les clients DHCP actifs sur le commutateur.

4. Conclusion

Récapitulons rapidement :

Les vulnérabilités du DHCP peuvent conduire à des attaques de type « Man-in-the-Middle » et à la « DHCP Starvation », qui peuvent toutes deux avoir de graves répercussions sur l’intégrité et la disponibilité de votre réseau.

DHCP Snooping atténue ces menaces par les moyens suivants :

  • Diviser le réseau en zones de confiance (Trusted) et en zones non fiables (Untrusted)
  • Filtrage des messages DHCP non autorisés
  • Vérification de l’intégrité des messages DHCP
  • Suivi dynamique des clients légitimes dans une table de liaison

Cette protection est puissante, mais seulement si elle est correctement configurée.

Vous comprenez maintenant comment le DHCP Snooping protège votre réseau. Voyons maintenant comment le configurer pas à pas sur un commutateur Cisco.