Rogue-DHCP-Server
Was ist Rogue-DHCP-Server?
Rogue-DHCP-ServerUnautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.
Ein Rogue-DHCP-Server ist jeder unautorisierte DHCP-Dienst in einem Netzwerk. Er kann bösartig sein (Raspberry Pi im Besprechungsraum, VM auf einem kompromittierten Host, mitgebrachter Heimrouter) oder schlicht fehlkonfiguriert. Da Clients das erste eingehende DHCPOFFER akzeptieren, kann der Rogue-Server Gateway, DNS, NTP, WPAD und weitere Optionen vorgeben, was MITM, DNS-Hijacking und Credential-Diebstahl ermöglicht. Häufig ist es die zweite Stufe nach DHCP-Starvation. Abwehr: DHCP-Snooping mit Trusted-Port für den legitimen Server, RA Guard für IPv6, NAC (802.1X) vor jeglichem DHCP-Verkehr und kontinuierliches Discovery auf unerwartete DHCP-Antworter.
● Beispiele
- 01
Im Meeting-Raum platzierter Raspberry Pi mit dnsmasq als DHCP/DNS für MITM im Unternehmens-Traffic.
- 02
Heimrouter eines Mitarbeiters am Büro-Port, der sich als DHCP-Server meldet.
● Häufige Fragen
Was ist Rogue-DHCP-Server?
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Rogue-DHCP-Server?
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.
Wie funktioniert Rogue-DHCP-Server?
Ein Rogue-DHCP-Server ist jeder unautorisierte DHCP-Dienst in einem Netzwerk. Er kann bösartig sein (Raspberry Pi im Besprechungsraum, VM auf einem kompromittierten Host, mitgebrachter Heimrouter) oder schlicht fehlkonfiguriert. Da Clients das erste eingehende DHCPOFFER akzeptieren, kann der Rogue-Server Gateway, DNS, NTP, WPAD und weitere Optionen vorgeben, was MITM, DNS-Hijacking und Credential-Diebstahl ermöglicht. Häufig ist es die zweite Stufe nach DHCP-Starvation. Abwehr: DHCP-Snooping mit Trusted-Port für den legitimen Server, RA Guard für IPv6, NAC (802.1X) vor jeglichem DHCP-Verkehr und kontinuierliches Discovery auf unerwartete DHCP-Antworter.
Wie schützt man sich gegen Rogue-DHCP-Server?
Schutzmaßnahmen gegen Rogue-DHCP-Server kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Rogue-DHCP-Server?
Übliche alternative Bezeichnungen: Unautorisierter DHCP-Server, Schädlicher DHCP-Server.
● Verwandte Begriffe
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 313
DHCP-Starvation
Layer-2-DoS-Angriff, der einen DHCP-Server mit gefälschten DISCOVER-Anfragen und gespooften MAC-Adressen überflutet, bis der Adresspool erschöpft ist.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 343
DNS-Spoofing
Angriff, der gefälschte DNS-Antworten einschleust, um Opfer von einer legitimen Domain auf eine vom Angreifer kontrollierte IP-Adresse umzuleiten.
- attacks№ 1207
VLAN-Hopping
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
● Siehe auch
- № 363DTP-Angriff
- № 492HSRP-/VRRP-Angriff