A DHCP-protokoll a munkaállomásokhoz automatikusan hozzárendel egy érvényes IP-címet egy adott tartományból. A DHCP-t majdnem olyan régóta használják, mint amióta a TCP/IP vált az iparág domináns protokollcsaládjává. Kétféle DHCP-támadás hajtható végre egy kapcsolt hálózaton: a DHCP-kiéheztetés és a DHCP-hamisítás.
A DHCP-kiéheztetés esetén a támadó elárasztja a DHCP-szervert DHCP-kérésekkel, hogy felhasználja az összes rendelkezésére álló IP-címet a tartományából. Miután az IP-címek elfogytak, a szerver nem képes több címet kiadni, így ez a módszer szolgáltatásmegtagadási (DoS) támadásnak minősíthető, ugyanis új kliensek nem tudnak csatlakozni a hálózathoz. Minden olyan támadást DoS-támadásnak nevezünk, amelyben hamis forgalommal terhelnek túl egy adott eszközt vagy szolgáltatást, hogy megakadályozzák a valódi kliensek kiszolgálását.
A DHCP-hamisítás esetén a támadó egy hamis DHCP-szervert állít fel a hálózaton, hogy az osszon IP-címeket az ügyfelek számára. Ennek a támadásnak az az általános célja, hogy hamis DNS- vagy WINS-szerver beállításokat kényszerítsen rá a kliensekre, tovább, hogy hamis alapértelmezett átjáróként használják a támadó, vagy az irányítása alatt lévő egyik eszközt.
A DHCP-kiéheztetést gyakran használják a DHCP-hamisítás támadás előtt, hogy blokkolják a valódi DHCP-szervert, ami azután megkönnyíti a hamis DHCP-szerver beillesztését a hálózatba.
Cisco Catalyst kapcsolókon a DHCP-támadások kivédésére használjuk a DHCP-ellenőrzés (DHCP-snooping) és a portbiztonság funkciókat! Ezekkel egy későbbi témakör foglalkozik részletesebben.