동적 호스트 구성 프로토콜

동적 호스트 구성 프로토콜

클라이언트/서버 모델에 따른 동적 호스트 구성 프로토콜(DHCP)과 프로토콜 토폴로지 구성 요소 간의 트래픽 라우팅 유형.
상태	활성
시작 연도	1993년 10월(32년 전)(1993-10)
기초가 되는 표준	RFC 1531

동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol, DHCP)은 클라이언트 서버 구조를 사용하여 네트워크에 연결된 장치에 IP 주소 및 기타 통신 매개변수를 자동으로 할당하기 위해 인터넷 프로토콜(IP) 네트워크에서 사용되는 네트워크 관리 프로토콜이다.^{[1]: Introduction}

이 기술은 네트워크 장치를 개별적으로 수동 구성할 필요성을 없애주며, 중앙에 설치된 네트워크 DHCP 서버와 각 컴퓨터 또는 장치의 프로토콜 스택에 있는 클라이언트 인스턴스라는 두 가지 네트워크 구성 요소로 이루어진다. 네트워크에 연결될 때와 그 이후 주기적으로, 클라이언트는 DHCP를 사용하여 서버에 매개변수 집합을 요청한다.

DHCP는 가정용 통신망부터 대규모 캠퍼스 통신망 및 지역 ISP 네트워크에 이르는 다양한 규모의 네트워크에서 구현될 수 있다.^[2] 많은 라우터와 가정용 게이트웨이에는 DHCP 서버 기능이 있다. 대부분의 가정용 네트워크 라우터는 ISP 네트워크 내에서 고유한 IP 주소를 할당받는다. 로컬 네트워크 내에서 DHCP 서버는 각 장치에 로컬 IP 주소를 할당한다.

DHCP 서비스는 인터넷 프로토콜 버전 4(IPv4)와 버전 6(IPv6)을 실행하는 네트워크를 위해 존재한다. IPv6 버전의 DHCP 프로토콜은 보통 DHCPv6라고 불린다.

역순 주소 결정 프로토콜(RARP)은 디스크리스 워크스테이션과 같은 단순한 장치에 적절한 IP 주소를 구성하기 위해 1984년에 정의되었다.^[3] 데이터 링크 계층에서 작동했기 때문에 많은 서버 플랫폼에서 구현이 어려웠다. 또한 각 개별 네트워크 링크마다 서버가 존재해야 했다. RARP는 1985년 9월에 정의된 부트스트랩 프로토콜(BOOTP)로 대체되었다.^[4] 이는 릴레이 에이전트 개념을 도입하여 네트워크 간에 BOOTP 패킷을 전달할 수 있게 했으며, 하나의 중앙 BOOTP 서버가 많은 IP 서브넷의 호스트를 서비스할 수 있도록 했다.

DHCP는 1993년 10월에 처음 정의되었다.^[5][6] 이는 BOOTP를 기반으로 하지만, 풀(pool)에서 IP 주소를 동적으로 할당하고 더 이상 사용되지 않을 때 회수할 수 있다. 또한 플랫폼별 매개변수를 포함하여 IP 클라이언트에 광범위한 추가 구성 매개변수를 전달하는 데 사용될 수 있다.^[7]

4년 후, (WPAD를 위해 사용되는) DHCPINFORM 메시지 유형과 기타 소소한 변경 사항이 추가되었다. 1997년에 정의된 이 버전은^[1] 여전히 IPv4 네트워크 표준의 핵심으로 남아 있다.

DHCPv6는 2003년에 처음 정의되었다.^[8] 이후 많은 RFC를 통한 업데이트를 거쳐 2018년에 정의가 대체되었으며,^[9] 여기에는 접두사 위임과 비상태 저장 주소 자동 구성이 통합되었다.

인터넷 프로토콜(IP)은 인터넷상의 로컬 네트워크 내부 및 네트워크 간에 장치가 통신하는 방식을 정의한다. DHCP 서버는 로컬 네트워크의 장치에 IP 주소를 자동적이고 동적으로 할당하는 등의 방식으로 해당 장치들의 IP 설정을 관리할 수 있다.^[10]

DHCP는 클라이언트 서버 모델을 기반으로 동작한다. 컴퓨터나 다른 장치가 네트워크에 연결되면 DHCP 클라이언트 소프트웨어는 필요한 정보를 요청하는 DHCP 브로드캐스트 쿼리를 보낸다. 네트워크상의 모든 DHCP 서버가 이 요청을 처리할 수 있다. DHCP 서버는 IP 주소 풀과 기본 게이트웨이, 도메인 네임, 네임 서버, 시간 서버와 같은 클라이언트 구성 매개변수에 대한 정보를 관리한다. DHCP 요청을 받으면 DHCP 서버는 관리자가 이전에 구성한 대로 각 클라이언트에 특정한 정보를 제공하거나, 전체 네트워크에 유효한 특정 주소 및 할당(임대)이 유효한 기간 동안의 기타 정보를 제공하여 응답할 수 있다. DHCP 클라이언트는 일반적으로 부팅 직후에 이 정보를 쿼리하며, 이후 정보가 만료되기 전에 주기적으로 다시 쿼리한다. DHCP 클라이언트가 할당을 갱신할 때 처음에는 동일한 매개변수 값을 요청하지만, DHCP 서버는 관리자가 설정한 할당 정책에 따라 새 주소를 할당할 수도 있다.

여러 링크로 구성된 대규모 네트워크에서는 상호 연결된 라우터에 위치한 DHCP 릴레이 에이전트의 도움을 받아 단일 DHCP 서버가 전체 네트워크를 서비스할 수 있다. 이러한 에이전트는 서로 다른 서브넷에 위치한 DHCP 클라이언트와 DHCP 서버 간에 메시지를 전달한다.

구현 방식에 따라 DHCP 서버는 IP 주소를 할당하는 세 가지 방법을 가질 수 있다:

동적 할당

네트워크 관리자가 DHCP를 위해 IP 주소 범위를 예약하고, LAN상의 각 DHCP 클라이언트는 네트워크 초기화 중에 DHCP 서버로부터 IP 주소를 요청하도록 구성된다. 요청 및 승인 프로세스는 제어 가능한 기간의 임대(lease) 개념을 사용하므로, 갱신되지 않은 IP 주소를 DHCP 서버가 회수하여 다시 할당할 수 있다.

자동 할당

DHCP 서버가 관리자가 정의한 범위 내에서 요청하는 클라이언트에 IP 주소를 영구적으로 할당한다. 이는 동적 할당과 유사하지만, DHCP 서버가 과거의 IP 주소 할당 표를 유지하여 클라이언트가 이전에 가졌던 것과 동일한 IP 주소를 우선적으로 할당할 수 있게 한다.

수동 할당

이 방법은 정적 DHCP 할당, 고정 주소 할당, 예약, MAC/IP 주소 바인딩 등 다양하게 불린다. 관리자가 각 클라이언트의 고유 식별자(클라이언트 ID 또는 MAC 주소)를 IP 주소에 매핑하여 요청하는 클라이언트에 제공한다. DHCP 서버는 이 방법이 실패할 경우 다른 방법으로 대체되도록 구성될 수 있다.

DHCP 서비스는 IPv4 및 IPv6에 사용된다. IPv4와 IPv6를 위한 프로토콜의 세부 사항은 서로 충분히 다르기 때문에 별개의 프로토콜로 간주될 수 있다.^[11] IPv6 작동을 위해 장치는 대신 비상태 저장 주소 자동 구성을 사용할 수 있다. IPv6 호스트는 로컬 네트워크 링크로 제한된 작업을 수행하기 위해 링크 로컬 주소 지정을 사용할 수도 있다.

DHCP는 사용자 데이터그램 프로토콜(UDP)을 사용하는 비연결형 서비스 모델을 채택한다. 부트스트랩 프로토콜(BOOTP)과 동일한 두 개의 UDP 포트 번호를 사용하여 동작한다. 서버는 UDP 포트 번호 67번에서 리스닝하고, 클라이언트는 UDP 포트 번호 68번에서 리스닝한다.

DHCP 동작은 서버 발견(discovery), IP 임대 제안(offer), IP 임대 요청(request), IP 임대 확인(acknowledgement)의 네 단계로 나뉜다. 이 단계들은 흔히 발견, 제안, 요청, 확인의 앞글자를 따서 DORA라고 줄여 부른다.

DHCP 동작은 클라이언트가 요청을 브로드캐스팅하면서 시작된다. 클라이언트와 서버가 서로 다른 브로드캐스트 도메인에 있는 경우, DHCP 헬퍼 또는 DHCP 릴레이 에이전트가 사용될 수 있다. 기존 임대 갱신을 요청하는 클라이언트는 해당 시점에 이미 설정된 IP 주소를 가지고 있으므로 UDP 유니캐스트를 통해 직접 통신할 수 있다. 또한 클라이언트가 DHCPOFFER를 받을 방식(브로드캐스트 또는 유니캐스트)을 나타내기 위해 사용할 수 있는 BROADCAST 플래그(2바이트 플래그 필드 중 1비트, 나머지 비트는 예약되어 0으로 설정됨)가 있다. 브로드캐스트의 경우 0x8000, 유니캐스트의 경우 0x0000이다.^[1] 보통 DHCPOFFER는 유니캐스트를 통해 전송된다. IP 주소가 구성되기 전에 유니캐스트 패킷을 수락할 수 없는 호스트의 경우, 이 플래그를 사용하여 이 문제를 해결할 수 있다.

DHCP 서버는 클라이언트에 선택적 구성 매개변수를 제공할 수 있다. RFC 2132는 IANA(Internet Assigned Numbers Authority) - DHCP 및 BOOTP PARAMETERS에서 정의한 가용 DHCP 옵션을 설명한다.^[12]

DHCP 클라이언트는 DHCP 서버가 제공하는 매개변수를 선택, 조작 및 덮어쓸 수 있다. 유닉스 계열 시스템에서 이러한 클라이언트 수준의 조정은 일반적으로 /etc/dhclient.conf 구성 파일의 값에 따라 이루어진다.

옵션은 가변 길이의 옥텟 문자열이다. 이를 형식-길이-값(Type–length–value) 인코딩이라고 한다. 첫 번째 옥텟은 옵션 코드이고, 두 번째 옥텟은 뒤따르는 옥텟의 수이며, 나머지 옥텟은 코드에 따라 달라진다. 예를 들어, 제안에 대한 DHCP 메시지 유형 옵션은 0x35, 0x01, 0x02로 나타나는데, 여기서 0x35는 "DHCP 메시지 유형"에 대한 코드 53이고, 0x01은 한 옥텟이 뒤따름을 의미하며, 0x02는 "제안(offer)"의 값이다.

다음 표는 사용 가능한 DHCP 옵션을 나열한다.^[13][12]

단 하나의 IP 서브넷만 관리되는 소규모 네트워크에서 DHCP 클라이언트는 DHCP 서버와 직접 통신한다. 그러나 DHCP 서버는 여러 서브넷에 대해 IP 주소를 제공할 수도 있다. 이 경우, 아직 IP 주소를 획득하지 못한 DHCP 클라이언트는 자신의 브로드캐스트가 자신의 서브넷에서만 수신될 수 있기 때문에 동일한 서브넷에 있지 않은 DHCP 서버와 직접 통신할 수 없다.

DHCP 서버가 직접 서비스하지 않는 서브넷의 DHCP 클라이언트가 DHCP 서버와 통신할 수 있도록 해당 서브넷에 DHCP 릴레이 에이전트를 설치할 수 있다. DHCP 릴레이 에이전트는 클라이언트의 서브넷과 DHCP 서버의 서브넷 간에 라우팅이 가능한 네트워크 장치에서 실행된다. DHCP 클라이언트는 로컬 링크에서 브로드캐스팅하고, 릴레이 에이전트는 이 브로드캐스트를 수신하여 유니캐스트를 사용해 하나 이상의 DHCP 서버로 전송한다. DHCP 서버의 IP 주소는 릴레이 에이전트에 수동으로 구성된다. 릴레이 에이전트는 클라이언트의 브로드캐스트를 수신한 인터페이스의 자체 IP 주소를 DHCP 패킷의 GIADDR 필드에 저장한다. DHCP 서버는 GIADDR 값을 사용하여 IP 주소를 할당할 서브넷과 그에 해당하는 주소 풀을 결정한다. DHCP 서버가 클라이언트에 응답할 때, 다시 유니캐스트를 사용하여 GIADDR 주소로 응답을 보낸다. 릴레이 에이전트는 클라이언트의 MAC 주소로 향하는 이더넷 프레임에 새로 예약된 IP 주소를 담아 (대부분의 경우) 유니캐스트를 사용하여 로컬 네트워크에 응답을 재전송한다. 클라이언트는 해당 IP 주소가 아직 인터페이스에 설정되지 않았더라도 해당 패킷을 자신의 것으로 수락해야 한다.^[1]: 25 패킷을 처리한 직후, 클라이언트는 인터페이스에 IP 주소를 설정하고 그 즉시 정규 IP 통신을 할 준비가 된다.

IP 스택의 클라이언트 구현이 IP 주소가 아직 없을 때 유니캐스트 패킷을 수락하지 않는 경우, 클라이언트는 DHCPDISCOVER 패킷을 보낼 때 FLAGS 필드에 브로드캐스트 비트를 설정할 수 있다. 릴레이 에이전트는 클라이언트에게 서버의 DHCPOFFER를 알리기 위해 255.255.255.255 브로드캐스트 IP 주소(및 클라이언트의 MAC 주소)를 사용한다.

릴레이 에이전트와 DHCP 서버 간의 통신은 일반적으로 소스 및 목적지 UDP 포트 67번을 모두 사용한다.

DHCP 클라이언트는 서버로부터 다음 메시지들을 받을 수 있다:^[1]: §4.4

• DHCPOFFER
• DHCPACK
• DHCPNAK

클라이언트는 자신이 보내는 메시지에 서버가 어떻게 응답하느냐에 따라 DHCP 상태를 이동한다.

DHCP는 주기적 갱신, 재바인딩,^{[1]: §4.4.5} 그리고 페일오버 등 여러 가지 방법으로 신뢰성을 보장한다. DHCP 클라이언트는 일정 기간 동안 지속되는 임대권을 할당받는다. 클라이언트는 임대 간격의 절반이 지나면 임대 갱신 시도를 시작한다.^{[1]: §4.4.5 Paragraph 3} 클라이언트는 원래 임대를 승인한 DHCP 서버에 유니캐스트 DHCPREQUEST 메시지를 보내 이 작업을 수행한다. 해당 서버가 다운되었거나 연결할 수 없는 경우 DHCPREQUEST에 응답하지 않는다. 그러나 이 경우 클라이언트는 때때로 DHCPREQUEST를 반복하므로,^{[1]: §4.4.5 Paragraph 8 [b]} DHCP 서버가 다시 복구되거나 연결 가능해지면 DHCP 클라이언트는 서버에 성공적으로 접속하여 임대를 갱신하게 된다.

DHCP 서버를 장기간 연결할 수 없는 경우,^{[1]: §4.4.5 Paragraph 5} DHCP 클라이언트는 DHCPREQUEST를 유니캐스트가 아닌 브로드캐스팅하여 재바인딩을 시도한다. 브로드캐스트이므로 DHCPREQUEST 메시지는 사용 가능한 모든 DHCP 서버에 도달한다. 다른 DHCP 서버가 임대를 갱신할 수 있는 경우 이 시점에 갱신을 수행한다.

재바인딩이 작동하려면 클라이언트가 백업 DHCP 서버에 성공적으로 연결했을 때 해당 서버가 클라이언트의 바인딩에 대한 정확한 정보를 가지고 있어야 한다. 두 서버 간에 정확한 바인딩 정보를 유지하는 것은 복잡한 문제이다. 두 서버가 동일한 임대 데이터베이스를 업데이트할 수 있는 경우, 독립적인 서버들 간의 업데이트 충돌을 피하기 위한 메커니즘이 있어야 한다. 결함 허용 DHCP 서버 구현 제안이 국제 인터넷 표준화 기구(IETF)에 제출되었으나 공식화되지는 않았다.^[31][c]

재바인딩이 실패하면 결국 임대가 만료된다. 임대가 만료되면 클라이언트는 임대 기간 동안 부여받은 IP 주소의 사용을 중단해야 한다.^{[1]: §4.4.5 Paragraph 9} 그 시점에 클라이언트는 DHCPDISCOVER 메시지를 브로드캐스팅하여 처음부터 DHCP 프로세스를 다시 시작한다. 임대가 만료되었으므로 자신에게 제공되는 모든 IP 주소를 수락한다. (아마도 다른 DHCP 서버로부터) 새 IP 주소를 받으면 다시 네트워크를 사용할 수 있게 된다. 그러나 IP 주소가 변경되었으므로 진행 중인 모든 연결은 끊어진다.

DHCP의 기본 방법론은 인터넷 프로토콜 버전 4(IPv4) 기반 네트워크를 위해 개발되었다. IPv6 네트워크의 개발 및 배포 이후, IPv6 고유의 비상태 저장 주소 자동 구성 기능에도 불구하고 이러한 네트워크에서 매개변수를 할당하기 위해 DHCP가 사용되어 왔다. 이 프로토콜의 IPv6 버전은 DHCPv6로 지정된다.^[32]

 DHCP 스누핑 문서를 참고하십시오.

기본 DHCP에는 인증 메커니즘이 포함되어 있지 않다.^[21]: §7 이 때문에 다양한 공격에 취약하다. 이러한 공격은 크게 세 가지 범주로 나뉜다:^{[1]: sec. 7}

• 승인되지 않은 DHCP 서버가 클라이언트에 허위 정보를 제공함.
• 승인되지 않은 클라이언트가 자원에 접근함.
• 악의적인 DHCP 클라이언트의 자원 고갈 공격.

클라이언트는 DHCP 서버의 신원을 확인할 방법이 없기 때문에, 네트워크에서 승인되지 않은 DHCP 서버(흔히 "rogue DHCP"라 함)를 운영하여 DHCP 클라이언트에 잘못된 정보를 제공할 수 있다.^[33] 이는 클라이언트의 네트워크 접속을 방해하는 서비스 거부 공격이나^[34] 중간자 공격으로 작용할 수 있다.^[35] DHCP 서버는 하나 이상의 DNS 서버 IP 주소와 같은 서버 IP 주소를 DHCP 클라이언트에 제공하므로,^{[1]: sec. 7} 공격자는 DHCP 클라이언트가 자신의 DNS 서버를 통해 DNS 조회를 하도록 유도하고 클라이언트의 DNS 쿼리에 대해 자신의 답변을 제공할 수 있다.^[36] 이는 결과적으로 공격자가 네트워크 트래픽을 자신에게 리디렉션하여 클라이언트와 접속하는 네트워크 서버 간의 통신을 도청하거나 해당 네트워크 서버를 자신의 서버로 간단히 교체할 수 있게 한다.^[36]

DHCP 서버는 클라이언트를 인증하는 보안 메커니즘이 없기 때문에, 클라이언트는 다른 DHCP 클라이언트에 속한 클라이언트 식별자와 같은 자격 증명을 제시하여 IP 주소에 무단으로 접근할 수 있다.^[33] 또한 DHCP 클라이언트는 주소를 요청할 때마다 새로운 자격 증명을 제시함으로써 DHCP 서버의 IP 주소 저장소를 고갈시킬 수 있으며, 특정 네트워크 링크의 모든 가용 IP 주소를 소모하여 다른 DHCP 클라이언트가 서비스를 받지 못하게 할 수 있다.^[33]

DHCP는 이러한 문제를 완화하기 위한 몇 가지 메커니즘을 제공한다. 릴레이 에이전트 정보 옵션 프로토콜 확장^[21](업계에서는 보통 실제 번호인 옵션 82로 지칭됨^[37][38])을 사용하면 네트워크 운영자가 메시지가 네트워크 운영자의 신뢰할 수 있는 네트워크에 도착할 때 DHCP 메시지에 태그를 부착할 수 있다. 이 태그는 클라이언트의 네트워크 자원 접근을 제어하기 위한 권한 부여 토큰으로 사용된다. 클라이언트는 릴레이 에이전트 상류의 네트워크에 접근할 수 없으므로, 인증이 없더라도 DHCP 서버 운영자가 권한 부여 토큰에 의존하는 것을 방해하지 않는다.^{[21]: sec. 7}

또 다른 확장인 DHCP 메시지 인증^[39](RFC 3118)은 DHCP 메시지를 인증하기 위한 메커니즘을 제공한다. 2002년 기준으로 이 확장은 수많은 DHCP 클라이언트의 키 관리 문제로 인해 널리 채택되지 못했다.^[40] DSL 기술에 관한 2007년 서적은 다음과 같이 언급했다:

RFC 3118에서 제안된 보안 조치에 대해 수많은 보안 취약점이 발견되었다. 이 사실은 802.1X의 도입과 결합되어 인증된 DHCP의 배포 및 채택 속도를 늦추었으며, 결과적으로 널리 배포된 적이 없다.^[41]

2010년 서적은 다음과 같이 적고 있다:

DHCP 인증의 구현 사례는 매우 드물다. 키 관리의 어려움과 해시 계산으로 인한 처리 지연은 예상되는 이점에 비해 치러야 할 대가가 너무 큰 것으로 간주되어 왔다.^[42]

2008년의 아키텍처 제안에는 802.1X 또는 PANA(둘 다 EAP를 전송함)를 사용하여 DHCP 요청을 인증하는 내용이 포함되어 있다.^[43] DHCP 자체에 EAP를 포함시키자는 소위 EAPoDHCP라는 IETF 제안이 있었으나,^[44] 이는 2010년 마지막 초안을 끝으로 IETF 드래프트 수준 이상으로 진전되지 않은 것으로 보인다.^[45]

• RFC 2131 – "Dynamic Host Configuration Protocol,"^[1] Draft Standard.
• RFC 2132 – "DHCP Options and BOOTP Vendor Extensions,"^[13] Draft Standard.
• RFC 3046 – "DHCP Relay Agent Information Option,"^[21] Proposed Standard.
• RFC 3203 – "DHCP reconfigure extension,"^[15] Proposed Standard.
• RFC 3397 – "Dynamic Host Configuration Protocol (DHCP) Domain Search Option,"^[25] Proposed Standard.
• RFC 3442 – "The Classless Static Route Option for Dynamic Host Configuration Protocol (DHCP) version 4,"^[26] Proposed Standard.
• RFC 3942 – "Reclassifying Dynamic Host Configuration Protocol version 4 (DHCPv4) Options,"^[46] Proposed Standard.
• RFC 4361 – "Node-specific Client Identifiers for Dynamic Host Configuration Protocol Version Four (DHCPv4),"^[47] Proposed Standard.
• RFC 4388 – "Dynamic Host Configuration Protocol (DHCP) Leasequery,"^[16] Proposed Standard.
• RFC 4436 – "Detecting Network Attachment in IPv4 (DNAv4),"^[48] Proposed Standard.
• RFC 6926 – "DHCPv4 Bulk Leasequery,"^[17] Proposed Standard.
• RFC 7724 – "Active DHCPv4 Lease Query,"^[18] Proposed Standard.
• RFC 8415 – "Dynamic Host Configuration Protocol for IPv6 (DHCPv6),"^[9] Proposed Standard.

• DHCPv6
• DDNS

내용주

• 위키미디어 공용에 동적 호스트 구성 프로토콜 관련 미디어 분류가 있습니다.