DHCP-Starvation
Was ist DHCP-Starvation?
DHCP-StarvationLayer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist.
DHCP-Starvation ist ein Angriff auf das Dynamic Host Configuration Protocol. Der Angreifer nutzt Tools wie Yersinia, dhcpstarv oder ein Scapy-Skript, um eine Flut von DHCPDISCOVER-Paketen mit jeweils unterschiedlichen, gespooften Client-MACs zu senden. Der DHCP-Server reserviert für jeden gefälschten Client einen Lease, bis der Pool leer ist; danach erhalten echte Hosts keine IP mehr. Starvation geht oft einem Rogue-DHCP-Angriff voraus: Nach Erschöpfung des legitimen Servers beantwortet der Angreifer nachfolgende Anfragen mit bösartiger Konfiguration (Default-Gateway, DNS), um Spoofing oder MITM aufzubauen. Abwehr: DHCP-Snooping mit Rate-Limit auf Switches, Port-Security mit MAC-Begrenzung, ARP-Inspection, 802.1X-Authentifizierung der Endpunkte.
● Beispiele
- 01
Yersinia-Angriff "sending DISCOVER packets" gegen einen Cisco-DHCP-Server zur Pool-Erschöpfung.
- 02
Kombination von Starvation und Rogue-DHCP-Server, um neuen Clients Angreifer-DNS unterzuschieben.
● Häufige Fragen
Was ist DHCP-Starvation?
Layer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DHCP-Starvation?
Layer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist.
Wie funktioniert DHCP-Starvation?
DHCP-Starvation ist ein Angriff auf das Dynamic Host Configuration Protocol. Der Angreifer nutzt Tools wie Yersinia, dhcpstarv oder ein Scapy-Skript, um eine Flut von DHCPDISCOVER-Paketen mit jeweils unterschiedlichen, gespooften Client-MACs zu senden. Der DHCP-Server reserviert für jeden gefälschten Client einen Lease, bis der Pool leer ist; danach erhalten echte Hosts keine IP mehr. Starvation geht oft einem Rogue-DHCP-Angriff voraus: Nach Erschöpfung des legitimen Servers beantwortet der Angreifer nachfolgende Anfragen mit bösartiger Konfiguration (Default-Gateway, DNS), um Spoofing oder MITM aufzubauen. Abwehr: DHCP-Snooping mit Rate-Limit auf Switches, Port-Security mit MAC-Begrenzung, ARP-Inspection, 802.1X-Authentifizierung der Endpunkte.
Wie schützt man sich gegen DHCP-Starvation?
Schutzmaßnahmen gegen DHCP-Starvation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DHCP-Starvation?
Übliche alternative Bezeichnungen: DHCP-Pool-Erschöpfung, DHCP-DoS.
● Verwandte Begriffe
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 944
Rogue-DHCP-Server
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 1207
VLAN-Hopping
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
- attacks№ 1072
Spanning-Tree-Protokoll-Angriff
Layer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS.