Portar

Port 68: DHCP client

Klientsidan av DHCP. Enheter använder den för att begära och förnya IP-konfigurationen.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

UDP port 68 är den välkända klientporten för DHCP. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En DHCP-klient binder till UDP 68 så att svar från servrar på ett tillförlitligt sätt når rätt lokala process under uppstart.

Detta är särskilt viktigt eftersom klienten kan börja utan IP-adress, skicka från 0.0.0.0 till en sändningsdestination samtidigt som den behöver ta emot ett erbjudande. I ett typiskt leasingflöde upptäcker och begär klienten på 68 sändningar meddelanden, och servern på 67 svarar med erbjudande- och bekräftelsemeddelanden som inkluderar en adressleasing plus inställningar som DNS och standardgateway.

Eftersom det tidiga utbytet kan sändas och oautentiseras spelar nätverkskontroller som switchportsäkerhet, DHCP snooping eller betrodda VLAN-gränser mycket. Om en angripare kan injicera DHCP-svar till port 68, kan de omdirigera trafik eller bryta anslutningen genom att dela ut dålig konfiguration.

Hur det fungerar i stora drag

  1. Klienten skickar DHCPDISCOVER från 0.0.0.0 till sändningsadressen, källport 68.
  2. Klienten får ett DHCPOFFER och svarar med DHCPREQUEST.
  3. Klienten tillämpar inställningarna DHCPACK och förnyar senare innan hyresavtalet löper ut.

Konkret exempel

En VoIP-telefon startar och skickar omedelbart DHCPDISCOVER från UDP 68. Om switchen blockerar den på grund av DHCP snooping felkonfiguration, får telefonen aldrig en IP och verkar död.

Varför det är viktigt

I paketfångningar, ser UDP 68 trafik hjälper dig att diagnostisera varför en värd inte får en adress. Ur säkerhetssynpunkt hjälper det också att upptäcka oseriöst DHCP-beteende och felkopplade segment.

Säkerhetsperspektiv

  • Använd fångar på åtkomstswitchen eller värden för att bekräfta upptäckten och erbjudandets flöde.
  • Lås ner DHCP med snooping och betrodda upplänkar.
  • Dokumentera vilka VLAN som använder vilka DHCP scopes så felpatchning är uppenbart.

Vanliga fallgropar

  • Klienter har fastnat i en loop eftersom erbjudanden blockeras av VLAN, ACL eller saknade reläagenter.
  • Flera DHCP-servrar orsakar fladdrande mellan olika konfigurationer.
  • Förutsatt att klienten är trasig när det verkliga problemet är uppströms switchsäkerhet eller reläkonfiguration.