DHCP 提供确实会泄露一些有关网络的信息。包含的选项揭示了有关网络布局和基础设施的某些细节，这正是 DHCP 的设计目的。静态分配不提供这些细节。

这里的威胁是未经授权的网络连接。这可以是插入实时网络插孔的设备，也可以是访问 WLAN 的无线客户端。一旦发生未经授权的连接，攻击者一旦连接就可以做任何事情，这就是 DHCP 与静态发挥作用的地方。

带有 MAC 注册的 DHCP 是最强大的 DHCP 模型。它不向任何未告知的 MAC 提供地址，因此理论上不会向未经授权的设备提供信息。静态分配也是如此，没有服务器要求寻址。

没有 MAC 注册的 DHCP 将允许未经授权的设备使用 IP 地址。

MAC 注册需要向 DHCP 系统注册任何类型的所有新设备，这会显着增加新设备运行所需的时间。并非所有网络设备都将其 MAC 发布在易于阅读的位置，因此一些边缘设备可能需要进行一些基准测试才能确定它们使用的是什么 MAC。即插即用不起作用（设计使然！）。此外，如果现有设备由于某种原因更换了网卡，技术人员将不得不记住重新注册新的 MAC。旧 MAC 的注销是此过程的关键步骤，并且在 DHCP 作用域填满之前经常错过。

有一些攻击使带有 MAC 注册的 DHCP 变得不那么有用。如果攻击者可以在授权设备和其网络端口（例如具有两个 NIC 的笔记本电脑）之间放置一个桥接器，它可以非常简单地找出该设备的 MAC 地址。以这种方式监控的任何流量都会显示授权设备的 MAC 地址。大多数网卡都允许更改 MAC 地址，因此攻击者所要做的就是更改其中一个 NIC 上的 MAC，拔下授权设备，插入重新编号的设备，然后访问已注册的 MAC。

在无线上，一旦攻击者成功闯入 WLAN 到可以监控电波的地步；获取 MAC 信息同样容易。

对此的防御是网络访问控制。为了与网络通信，连接的设备需要能够在机器级别进行身份验证。这可以防止未经授权的设备连接到网络，因为它可以防止发生重要的网络对话。在上述情况下，攻击者的设备将被拒绝访问。并非所有设备都可以使用 NAC，尤其是网络连接的打印机，因此攻击者可以专注于这些设备，这意味着需要在这些端口上监控网络断开事件。

一般来说，在正确配置的环境中，此选择不会真正影响您的安全性。也就是说，DHCP 可能有一些值得考虑的漏洞。

使用 DHCP（假设您只向已知客户端分发地址）在网络上跳转的未知机器将不会获得地址。现在，如果您向任何插入的机器发放租约，您就会面临安全问题，但答案是“不要那样做！”。
从理论上讲，有人可以插入网络并查找广播消息，了解您的网络是什么样子（DNS 服务器、路由器，可能是一些基于 DHCP 客户端 ID 和分配给它们的 IP 范围的泄露信息），但是如果人们接入你的（理论上是安全的）网络，你就有更大的鱼可炒了。

使用静态地址且没有 DHCP 服务器，自然信息泄漏会更少（不会分发路由器和 DNS 信息，也不会有任何 DHCP 客户端 ID 泄漏信息）。即使在这种情况下，如果攻击者进入您的网络，他们也可以静静地坐在那里嗅探流量，直到他们从 DHCP 广播中获得相同的信息——这将花费更长的时间，并且会更加困难，但是这仍然是可能的。

理想情况下，您应该停用未使用的网络端口，使用优质 WPA 保护您拥有的任何无线网络，并可能在您的接入交换机和无线接入点上进行 MAC 地址过滤——如果您正在做所有这些，它会给某人带来很大的障碍设法进入您的网络，并通过在他们和您的网络的软肋之间设置另一个障碍来帮助减轻他们可能从 DHCP（或坐在那里嗅探）获得的任何信息泄漏。

动态分配 IP 地址的一个挑战是，这会使构建防火墙规则变得有些困难。通常，防火墙规则是使用您要与之通信的主机的硬编码 IP 地址构建的。如果这些主机具有动态 IP，那么就更难为它们编写安全的防火墙策略。

（与 DNS 主机名相反，在防火墙策略中使用硬编码 IP 地址通常最安全的原因是，防火墙的安全性不会受到 DNS 欺骗、DNS 劫持或其他 DNS 攻击的影响。）

这里还没有提到的另一个安全问题是中间人攻击的可能性。

如果攻击者部署了一个流氓 DHCP 服务器，他基本上可以成为网关，用于与 Intranet 和 Internet 的通信。

缓解此类攻击取决于基础设施中使用的硬件。如果您的硬件支持阻止规则 pr。端口，禁止源端口为 67 的数据包。

如果没有，被动侦听网络上的 rouge DHCP 服务器也是一种选择。