DHCP-Starvation
Was ist DHCP-Starvation?
DHCP-StarvationLayer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist.
DHCP-Starvation ist ein Angriff auf das Dynamic Host Configuration Protocol. Der Angreifer nutzt Tools wie Yersinia, dhcpstarv oder ein Scapy-Skript, um eine Flut von DHCPDISCOVER-Paketen mit jeweils unterschiedlichen, gespooften Client-MACs zu senden. Der DHCP-Server reserviert für jeden gefälschten Client einen Lease, bis der Pool leer ist; danach erhalten echte Hosts keine IP mehr. Starvation geht oft einem Rogue-DHCP-Angriff voraus: Nach Erschöpfung des legitimen Servers beantwortet der Angreifer nachfolgende Anfragen mit bösartiger Konfiguration (Default-Gateway, DNS), um Spoofing oder MITM aufzubauen. Abwehr: DHCP-Snooping mit Rate-Limit auf Switches, Port-Security mit MAC-Begrenzung, ARP-Inspection, 802.1X-Authentifizierung der Endpunkte.
● Beispiele
- 01
Yersinia-Angriff "sending DISCOVER packets" gegen einen Cisco-DHCP-Server zur Pool-Erschöpfung.
- 02
Kombination von Starvation und Rogue-DHCP-Server, um neuen Clients Angreifer-DNS unterzuschieben.
● Häufige Fragen
Was ist DHCP-Starvation?
Layer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DHCP-Starvation?
Layer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist.
Wie schützt man sich gegen DHCP-Starvation?
Schutzmaßnahmen gegen DHCP-Starvation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DHCP-Starvation?
Übliche alternative Bezeichnungen: DHCP-Pool-Erschöpfung, DHCP-DoS.