DHCP (Dynamic Host Configuration Protocol)

Was ist DHCP?

Das Dynamic Host Configuration Protocol (DHCP) ist ein Netzwerkmanagementprotokoll, das dazu dient, jedem Gerät in einem Netzwerk dynamisch eine IP-Adresse zuzuweisen, damit es kommunizieren kann. DHCP automatisiert und verwaltet diese Konfigurationen zentral, so dass Netzwerkadministratoren für die einzelnen Netzwerkgeräte nicht mehr manuell eine IP-Adresse vergeben müssen. Sowohl kleine lokale Netzwerke als auch große Unternehmensnetzwerke können DHCP implementieren.

Es gibt DHCP-Versionen sowohl für IPv4 als auch für IPv6. IPv6 wurde 2017 per RFC 8200 zum IETF-Internetstandard, die Vorgängerspezifikation RFC 2460 stammt von 1998. Während sich IPv6 anfangs nur langsam verbreitete, nutzten im Sommer 2025 rund circa 48 Prozent der Google-Nutzer IPv6 für ihre Anfragen.

So funktioniert DHCP

DHCP läuft auf der Anwendungsschicht des TCP/IP-Stacks. Es weist DHCP-Clients dynamisch IP-Adressen zu und stellt ihnen die erforderlichen TCP/IP-Einstellungen zur Verfügung. Die Einstellungen umfassen Folgendes:

• Informationen zur Subnetzmaske.
• IP-Adressen der Standard-Gateways. Die Standardroute wird bei IPv6 per Router Advertisement (NDP) verteilt).
• DNS-Adressen (Domain Name System).

Bei DHCP handelt es sich um ein Client-Server-Protokoll. Server verwalten einen Pool eindeutiger IP-Adressen und Informationen zu Konfigurationsparametern von Clients. Die Server vergeben Adressen aus diesen Adresspools. DHCP-fähige Clients senden Anfragen an den DHCP-Server, wenn sie sich mit einem Netzwerk verbinden.

Per DHCP konfigurierte Clients können Anfragen nach den Konfigurationsinformationen ihres lokalen Netzwerks an den DHCP-Server senden. Ein Client sendet diese Anfrage in der Regel unmittelbar nach dem Hochfahren. Der DHCP-Server antwortet dem Client auf diese Anfrage, indem er die zuvor vom Netzwerkadministrator angegebenen IP-Konfigurationsinformationen bereitstellt. Dazu gehören eine bestimmte IP-Adresse und ein Lease – die Zeit, für die die Zuweisung gültig ist. Bei IPv4 wird dieser Ablauf oft als DORA bezeichnet:

Discover → Offer → Request → Acknowledge

Bei DHCPv6 ist der Ablauf analog:

Solicit → Advertise → Request → Reply

Ein DHCP-Client fordert dieselben Parameter an, wenn er seine Adresszuweisung aktualisiert. Der DHCP-Server kann jedoch auf Grundlage der von Administratoren festgelegten Richtlinien eine neue IP-Adresse zuweisen.

Ein DHCP-Server verwaltet eine Liste aller IP-Adressen, die er an Netzwerkknoten vergibt. Zur Identifikation nutzt der Server bei IPv4 typischerweise die Client-ID beziehungsweise die MAC-Adresse. Bei DHCPv6 erfolgt die eindeutige Zuordnung dagegen über DUID und IAID und nicht über die MAC-Adresse.

Dadurch lässt sich verhindern, dass versehentlich mehrere Geräte mit derselben IP-Adresse konfiguriert werden. Um einen DHCP-Server einzurichten, ist zudem eine Konfigurationsdatei mit Netzwerkinformationen für Clients erforderlich.

DHCP ist kein routingfähiges Protokoll. Es ist auf ein bestimmtes lokales Netzwerk (LAN) beschränkt, ein einziger DHCP-Server pro LAN kann ausreichen. In der Praxis empfiehlt sich jedoch Redundanz (Failover/Hochverfügbarkeit) und eine saubere Scope-Aufteilung. Größere Netzwerke umfassen möglicherweise ein Wide Area Network (WAN), das mehrere einzelne Standorte miteinander verbindet. Abhängig von den Verbindungen zwischen diesen Punkten und der Anzahl der Clients pro Standort können Teams mehrere DHCP-Server einrichten, um die Adressverteilung durchzuführen. Administratoren können mit einer Befehlszeile arbeiten, wenn sie mehrere DHCP-Server oder DHCP-Server in einem WAN verwalten. Sie sollten dabei beachten, dass ihre Aktionen – wie das Starten, Stoppen und Neustarten – Auswirkungen auf den DHCP-Hintergrunddienst (Daemon) haben können.

Wenn Netzwerkadministratoren möchten, dass ein DHCP-Server Adressen für mehrere Subnetze in einem Netzwerk bereitstellt, müssen sie DHCP-Relay-Dienste auf den Routern konfigurieren, die die Subnetze verbinden und von DHCP-Anfragen durchlaufen werden. Diese Agenten leiten Nachrichten zwischen DHCP-Clients und -Servern in verschiedenen Subnetzen weiter.

Die einzelnen DHCP-Komponenten

DHCP setzt sich aus zahlreichen Komponenten zusammen:

• DHCP-Server: Hierbei handelt es sich um ein Netzwerkgerät – üblicherweise ein Server oder Router –, das den DHCP-Dienst ausführt. Der DHCP-Server speichert IP-Adressen und zugehörige Konfigurationsinformationen.
• DHCP-Client: Hierbei handelt es sich um ein Gerät, zum Beispiel einen Computer oder ein Telefon, das mit einem Netzwerk verbunden ist und mit einem DHCP-Server kommuniziert.
• DHCP-Relay: Ein Relay verwaltet Anfragen zwischen DHCP-Clients und -Servern. In der Regel nutzen Unternehmen Relays, wenn sie über große oder komplexe Netzwerke verfügen.

Weitere Komponenten sind IP-Adresspool, Subnetz, Lease und DHCP-Kommunikationsabläufe (zum Beipiel DORA/SARR) und Client-Identifikatoren (Client-ID, DUID/IAID).

Statische versus dynamische DHCP-Leases

Statische Geräte, etwa Webserver und Switches, besitzen feste IP-Adressen. Alternativ können Administratoren DHCP-Reservierungen konfigurieren: Der Server weist einem bestimmten Client (MAC/Client-ID beziehungsweise DUID/IAID) immer dieselbe IP-Adresse zu – zentrale Verwaltung ohne lokale statische Adressen. Bei dynamischem DHCP gehört die dem Client zugewiesene IP-Adresse nicht dauerhaft ihm, sondern wird ihm lediglich für einen bestimmten Zeitraum überlassen. Beim Einschalten/Verbinden kommuniziert der Client mit dem Server; sofern der bestehende Lease noch gültig ist, wird üblicherweise dieselbe Adresse verlängert. Drahtlose Geräte sind Beispiele für Clients, denen bei der Verbindung mit einem Netzwerk dynamische IP-Adressen zugewiesen werden.

In einer dynamischen DHCP-Konfiguration muss ein Client möglicherweise seine IP-Adresse freigeben, bevor er sich mit einer anderen Adresse wieder mit dem Netzwerk verbinden kann. Die Dauer von DHCP-Leases hängt davon ab, wie lange ein Benutzer an einem bestimmten Standort eine Internetverbindung benötigt. Geräte geben ihre IP-Adressen frei, wenn ihr Lease abläuft. Wenn sie dann online bleiben, fordern sie eine Verlängerung an. Der DHCP-Server weist unter Umständen eine neue Adresse zu, anstatt eine alte zu verlängern. Typische Erneuerungszeitpunkte sind T1 mit circa 50 Prozent und T2 mit circa 87,5 Prozent der Lease-Dauer (konfigurierbar).

Der typische dynamische DHCP-Lease-Zyklus sieht folgendermaßen aus:

1. Ein Client erhält einen IP-Adress-Lease, indem er diesen vom DHCP-Server anfordert (IPv4: DORA; IPv6: Solicit/Advertise/Request/Reply).
2. Wenn ein Client bereits über eine IP-Adresse aus einem bestehenden Lease verfügt, kontaktiert er beim Neustart den Server zur Verlängerung. Ist der Lease noch gültig, behält er in der Regel dieselbe Adresse.
3. Sobald ein Lease aktiv ist, ist der Client an den Lease und die Adresse gebunden.
4. Wenn der Lease abläuft, kontaktiert ein Client den Server, der den Lease ursprünglich vergeben hat, um ihn zu erneuern, damit er die IP-Adresse weiterhin verwenden kann (T1/T2-Timer).
5. Wenn ein Client zu einem anderen Netzwerk wechselt, wird seine dynamische IP-Adresse beendet und er fordert eine neue IP-Adresse vom DHCP-Server des neuen Netzwerks an.

DHCP und IoT-Geräte

Auch ganz gewöhnliche elektronische Geräte können DHCP nutzen, wie in RFC 8415 (Nov. 2018, DHCPv6-Spezifikation, Standards Track) beschrieben.. Wenn gewöhnliche elektronische Geräte DHCP verwenden, möchten ihre Hersteller im Allgemeinen, dass sie Teil des Internets der Dinge (Internet of Things, IoT) werden. DHCP verbindet Geräte wie Kühlschränke und Bewässerungssysteme mithilfe einer von der Internet Engineering Task Force vorgeschlagenen Manufacturer Usage Description (MUD, RFC 8520) mit dem Internet. Die MUD-URL kann per DHCP-Option 161 (v4) beziehungsweise 112 (v6) signalisiert werden.

DHCP-Sicherheit

Der Nachteil von DHCP liegt darin, dass es von Natur aus nicht sicher ist. Wenn böswillige Akteure auf den DHCP-Server zugreifen, können sie großen Schaden anrichten. DHCP verfügt über keinen integrierten Mechanismus, der es Clients und Servern ermöglicht, sich gegenseitig zu authentifizieren. Beide sind anfällig für Täuschungen und Angriffe, bei denen Rogue-Clients den IP-Adresspool eines DHCP-Servers komplett ausschöpfen können (DHCP Starvation).

Eine der Hauptschwachstellen von DHCP besteht in der Anfälligkeit für MitM-Angriffe (Man in the Middle). Bei einer solchen Attacke fängt ein Angreifer heimlich Nachrichten zwischen zwei Parteien ab, die glauben, direkt miteinander zu kommunizieren, und leitet sie weiter.

Auch DHCP-Server waren von mehreren Memory-Corruption-Lücken betroffen. Bei diesen Angriffen nehmen böswillige Akteure den Windows-DHCP-Server ins Visier. Wenn sie erfolgreich sind, können die Attacken zu einer vollständigen Kompromittierung des Microsoft Active Directory führen. Eine solche Schwachstelle, die von Microsoft inzwischen gepatcht wurde, trägt die Bezeichnung CVE-2019-0725 Windows DHCP Server Remote Code Execution Vulnerability.

Außerdem gilt: Wenn es für den DHCP-Server kein Backup gibt und der Server ausfällt, funktionieren auch die von ihm versorgten Geräte nicht mehr ordnungsgemäß.

Best Practices: DHCP Snooping (Switch-Ports), Port-Security, Erkennung/Blockierung Rogue-DHCP, Härtung und regelmäßige Backups der Server, Monitoring auf Pool-Erschöpfung, sowie Hochverfügbarkeit/Failover.

Geschichte von DHCP

DHCP ist eine Erweiterung des Bootstrap Protocol (BOOTP) von 1985, einem Netzwerkprotokoll für die Verwaltung von IP-Adressen. DHCP ist leistungsfähiger. Zum Beispiel können DHCP-Server BOOTP-Anfragen von Clients verarbeiten, sofern sich BOOTP-Clients in einem Netzwerksegment befinden.

BOOTP führte das Konzept eines Relay-Agenten ein, der die netzwerkübergreifende Weiterleitung von BOOTP-Paketen ermöglichte. Dies geschah durch den Einsatz eines zentralen BOOTP-Servers für Hosts in verschiedenen IP-Subnetzen. Allerdings musste man bei BOOTP die Konfigurationsdaten für jeden Client manuell eintragen. Darüber hinaus fehlte eine Möglichkeit, nicht mehr verwendete IP-Adressen wieder zu nutzen.