DHCP-Spoofing
Was ist DHCP-Spoofing?
DHCP-SpoofingAngriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
DHCP-Spoofing tritt auf, wenn ein Angreifer in derselben Broadcast-Domäne DHCPDISCOVER/REQUEST schneller oder anstelle des legitimen Servers mit einem gefälschten DHCPOFFER/ACK beantwortet. Die manipulierte Konfiguration setzt den Angreifer als Default-Gateway und DNS-Resolver und ermöglicht Traffic-Mitschnitt, Credential-Diebstahl, TLS-Downgrade-Versuche oder DNS-Umleitung. In Kombination mit DHCP-Starvation (Ausschaltung des echten Servers) ist der Angriff besonders wirksam. Er bildet die Grundlage vieler MITM-Toolkits wie Ettercap und Bettercap. Abwehr: DHCP-Snooping mit Trusted-Ports, Dynamic ARP Inspection, IP Source Guard, RA Guard für IPv6 sowie Segmentierung zur Reduktion der Broadcast-Domänen.
● Beispiele
- 01
Bettercap-Modul dhcp.spoof verteilt ein Gateway 192.168.1.66, das auf den Angreifer zeigt.
- 02
Verteilen eines Angreifer-DNS (z. B. 198.51.100.10), das HTTP-Anfragen auf eine Phishing-Site umleitet.
● Häufige Fragen
Was ist DHCP-Spoofing?
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DHCP-Spoofing?
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
Wie funktioniert DHCP-Spoofing?
DHCP-Spoofing tritt auf, wenn ein Angreifer in derselben Broadcast-Domäne DHCPDISCOVER/REQUEST schneller oder anstelle des legitimen Servers mit einem gefälschten DHCPOFFER/ACK beantwortet. Die manipulierte Konfiguration setzt den Angreifer als Default-Gateway und DNS-Resolver und ermöglicht Traffic-Mitschnitt, Credential-Diebstahl, TLS-Downgrade-Versuche oder DNS-Umleitung. In Kombination mit DHCP-Starvation (Ausschaltung des echten Servers) ist der Angriff besonders wirksam. Er bildet die Grundlage vieler MITM-Toolkits wie Ettercap und Bettercap. Abwehr: DHCP-Snooping mit Trusted-Ports, Dynamic ARP Inspection, IP Source Guard, RA Guard für IPv6 sowie Segmentierung zur Reduktion der Broadcast-Domänen.
Wie schützt man sich gegen DHCP-Spoofing?
Schutzmaßnahmen gegen DHCP-Spoofing kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DHCP-Spoofing?
Übliche alternative Bezeichnungen: DHCP-Options-Spoofing, Falsche DHCP-Antwort.
● Verwandte Begriffe
- attacks№ 313
DHCP-Starvation
Layer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist.
- attacks№ 944
Rogue-DHCP-Server
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 343
DNS-Spoofing
Angriff, der gefälschte DNS-Antworten einschleust, um Opfer von einer legitimen Domain auf eine vom Angreifer kontrollierte IP-Adresse umzuleiten.
- attacks№ 1207
VLAN-Hopping
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
● Siehe auch
- № 1072Spanning-Tree-Protokoll-Angriff
- № 363DTP-Angriff
- № 492HSRP-/VRRP-Angriff
- № 865Promiscuous-Modus