Protocole DHCP : fonctionnement, configuration et sécurité 2026

Publié le 05/05/2026 · Certifexpress

Le protocole DHCP (Dynamic Host Configuration Protocol) est le mécanisme qui permet aux ordinateurs, smartphones, imprimantes et objets connectés de recevoir automatiquement une configuration IP lorsqu'ils rejoignent un réseau. Sans DHCP, chaque administrateur devrait configurer manuellement adresse IP, masque, passerelle et serveurs DNS sur des milliers d'équipements. Ce guide détaille le fonctionnement complet de DHCP (process DORA), les options les plus utilisées, la sécurisation (DHCP snooping, rogue DHCP), la différence avec DHCPv6 / SLAAC, et les bonnes pratiques pour 2026.

Pourquoi maitriser DHCP en 2026 ? DHCP figure dans le tronc commun de la plupart des certifications réseau : CCNA 200-301, CompTIA Network+, JNCIA, et tous les programmes Aruba/HPE. Une faille DHCP non corrigée (rogue server) peut compromettre l'intégralité du trafic d'un VLAN.

1. À quoi sert le protocole DHCP ?

DHCP est défini par les RFC 2131 et 2132 (publiées en 1997, mises à jour par les RFC 3046, 4361 et 8910). Il s'agit d'une évolution de BOOTP qui ajoute la notion de bail (lease), l'allocation dynamique d'adresses et un mécanisme d'options extensible. Pour une définition formelle, consultez notre fiche glossaire DHCP.

Le serveur DHCP fournit typiquement :

Une adresse IPv4 issue d'un pool (scope) configuré par l'administrateur
Le masque de sous-réseau associé (option 1)
La passerelle par défaut (option 3)
Les serveurs DNS récursifs (option 6)
Le nom de domaine (option 15)
La durée du bail (option 51), souvent 8 ou 24 heures en entreprise
Les serveurs NTP pour la synchronisation horaire (option 42)

2. Le processus DORA : Discover, Offer, Request, Ack

Lorsqu'un client se connecte au réseau, il enclenche un échange en quatre messages appelé DORA. Tous les messages utilisent UDP : port source 68 côté client, port destination 67 côté serveur.

DHCP Discover

Le client n'ayant pas encore d'adresse IP, il diffuse un message en broadcast (destination 255.255.255.255, source 0.0.0.0) contenant son adresse MAC (chaddr) et un identifiant de transaction (xid). Tous les serveurs DHCP du segment L2 reçoivent la requête.

DHCP Offer

Chaque serveur DHCP qui possède un scope adapté répond avec une proposition : une adresse IP candidate (yiaddr), le masque, la durée de bail proposée et son propre identifiant (option 54). La réponse est généralement diffusée en broadcast tant que le client n'a pas validé son IP.

DHCP Request

Le client choisit une offre (la première reçue le plus souvent) et diffuse un Request incluant l'option 50 (Requested IP) et l'option 54 (Server Identifier). Cette diffusion permet aux autres serveurs DHCP de savoir que leur offre n'a pas été retenue et de relibérer l'adresse proposée.

DHCP Ack

Le serveur sélectionné valide l'attribution avec un Acknowledgement contenant la configuration finale : IP, masque, gateway, DNS, lease time. Si l'IP n'est plus disponible, le serveur renvoie un DHCPNAK et le client recommence un Discover.

Mémoire technique : retenez l'acronyme DORA (Discover → Offer → Request → Ack). C'est l'un des sujets les plus fréquemment testés en examens Cisco et CompTIA Network+.

3. Lease, renouvellement et états DHCP

Le bail (lease) DHCP a une durée finie. Le client tente un renouvellement en unicast auprès du serveur d'origine dès qu'il atteint 50 % du temps de bail (T1). En cas d'échec, il diffuse un nouveau Request à 87,5 % du bail (T2). Sans réponse au terme, le client libère l'adresse et redémarre un cycle DORA complet.

État	Description
INIT	Client sans IP, prêt à envoyer un Discover
SELECTING	Discover envoyé, attente d'Offers
REQUESTING	Offer choisie, Request envoyé
BOUND	Bail actif, IP utilisable
RENEWING	50 % du bail atteint, renouvellement unicast
REBINDING	87,5 % du bail, broadcast vers n'importe quel serveur

4. Les options DHCP les plus utiles

Le protocole supporte plus de 200 options. Voici les plus rencontrées en production :

Option 1 : Subnet Mask
Option 3 : Default Gateway
Option 6 : DNS Servers
Option 15 : Domain Name
Option 42 : NTP Servers
Option 43 : Vendor Specific (utilisée pour les bornes Wi-Fi Cisco/Aruba qui découvrent leur contrôleur)
Option 51 : Lease Time
Option 60 : Vendor Class Identifier (permet au serveur d'identifier le type de client)
Option 66 / 67 : TFTP server name / Bootfile name (PXE boot)
Option 82 : Relay Agent Information (clé de DHCP snooping)
Option 121 : Classless Static Routes

5. DHCP Relay et architectures multi-VLAN

Le DHCP fonctionne nativement par broadcast L2 : un serveur unique ne peut donc pas servir plusieurs VLAN sans aide. La solution est l'agent relais DHCP (DHCP Relay, RFC 1542). Sur un commutateur ou routeur Cisco, la commande ip helper-address X.X.X.X sur l'interface SVI transforme les broadcasts reçus en unicasts vers le serveur central.

L'agent relais ajoute l'option 82, qui inclut l'identifiant de circuit (Circuit ID) et l'identifiant distant (Remote ID). Ces informations permettent au serveur DHCP de choisir le bon scope en fonction du VLAN d'origine, tout en facilitant l'audit et le DHCP snooping.

6. Sécuriser DHCP : snooping, ARP inspection, port-security

Rogue DHCP : la menace n°1

Un attaquant qui branche un serveur DHCP non autorisé (Kali avec dnsmasq, par exemple) peut distribuer une fausse passerelle pour intercepter tout le trafic du VLAN (man-in-the-middle). C'est trivial et reste l'une des attaques les plus courantes en pentest interne.

DHCP Snooping

Le DHCP snooping est une fonctionnalité des switches managés qui classe chaque port comme trusted ou untrusted. Seuls les ports trusted (typiquement vers le vrai serveur DHCP) peuvent émettre des messages Offer/Ack. Les autres ports voient leurs réponses serveur droppees. Le switch construit une binding table qui associe MAC, IP, VLAN et port : cette table sert ensuite à Dynamic ARP Inspection et à IP Source Guard.

Bonne pratique : activer DHCP snooping sur tous les VLAN d'accès utilisateur. C'est la base de toute architecture L2 sécurisée étudiée dans CCNA 200-301.

Autres protections complémentaires

Port-security : limite le nombre de MAC par port d'accès
BPDU Guard : bloque les switches non autorisés
802.1X : authentification avant attribution IP
DHCP rate-limiting : protection contre le DHCP starvation (saturation du pool)

7. DHCPv6 vs SLAAC en IPv6

En IPv6, l'attribution d'adresse peut se faire par trois mécanismes : SLAAC (Stateless Address Autoconfiguration), DHCPv6 stateful ou DHCPv6 stateless. Le routeur publie des Router Advertisements (RA) qui déclarent quel mode utiliser via les flags M (Managed) et O (Other configuration).

Méthode	IP fournie par	Paramètres complémentaires
SLAAC pur	Routeur (préfixe RA + EUI-64 ou random)	RDNSS / DNSSL dans le RA
SLAAC + DHCPv6 stateless	Routeur	DNS, NTP via DHCPv6
DHCPv6 stateful	Serveur DHCPv6	Tout via DHCPv6

Note : Android ne supporte toujours pas DHCPv6 stateful en 2026. Pour des réseaux mixtes, SLAAC reste la solution la plus interopérable. DHCPv6 stateful est cependant nécessaire dans les environnements d'entreprise pour conserver la traçabilité (audit, NAC, journaux d'accès).

8. Outils et serveurs DHCP populaires

ISC DHCP : référence historique, en fin de vie depuis 2022 mais encore très déployé
ISC Kea : successeur officiel d'ISC DHCP, modulaire, API REST, base SQL
dnsmasq : léger, parfait pour la maison, le PXE et les routeurs Linux
Microsoft DHCP Server : intégré à Windows Server, gestion via console MMC ou PowerShell
Infoblox / EfficientIP : solutions DDI (DNS-DHCP-IPAM) entreprise
systemd-networkd : fournit DHCP server pour des réseaux Linux modernes

9. Dépannage DHCP : méthodologie

Quand un poste reçoit une adresse APIPA (169.254.x.x) ou ne reçoit rien :

Vérifier la connexion physique et l'état du port d'accès (no shut, VLAN attribué)
Capturer le trafic avec Wireshark, filtre bootp ou dhcp
Confirmer la présence du Discover côté serveur (logs ou tcpdump port 67)
Vérifier la portée du scope, l'absence de saturation et les exclusions
Sur switch : show ip dhcp snooping binding, show ip dhcp conflict
Vérifier la présence d'un éventuel rogue DHCP avec dhcp_probe ou nmap --script broadcast-dhcp-discover

Pour aller plus loin sur la configuration concrète, consultez notre tutoriel Linux administration. Pour la pile fournisseur Aruba HPE, voir notre fiche vendor Aruba.

10. DHCP et certifications : ce qu'il faut savoir

DHCP est un sujet d'examen systématique. Les questions portent généralement sur :

L'ordre exact des messages DORA et le type de transport (UDP 67/68)
Le rôle de ip helper-address et de l'option 82
La configuration d'un scope, des exclusions et des réservations
La sécurisation par DHCP snooping et DAI
La différence DHCPv6 stateful / stateless / SLAAC

Pour pratiquer, les laboratoires GNS3, EVE-NG ou Cisco Packet Tracer permettent de reproduire toutes ces configurations. Notre parcours Cisco réseaux propose des labos guidés sur DHCP, DHCP relay et DHCP snooping.

Conclusion

Le protocole DHCP semble simple en apparence mais cache une mécanique riche : un échange DORA, un cycle de bail T1/T2, un système d'options extensible et un volet sécurité clé (snooping, ARP inspection, IP source guard). Maitriser DHCP, c'est garantir un réseau qui démarre vite, distribue les bonnes informations et résiste aux attaques internes les plus communes. Pour aller plus loin, consultez notre fiche glossaire DHCP ou commencez votre préparation CompTIA Network+ qui couvre l'ensemble des protocoles d'infrastructure.

Pratiquez avec de vraies questions d'examen

Certifexpress propose des examens blancs gratuits avec corrections détaillées.

Voir les examens →

← Retour au blog