Serveur DHCP pirate
Qu'est-ce que Serveur DHCP pirate ?
Serveur DHCP pirateServeur DHCP non autorisé branché sur le réseau qui distribue des configurations IP, redirigeant intentionnellement ou non le trafic vers une infrastructure attaquante.
Un serveur DHCP rogue est tout service DHCP fonctionnant sans autorisation sur un réseau. Il peut être malveillant (Raspberry Pi déposé dans une salle de réunion, VM sur un hôte compromis, routeur domestique branché) ou simplement mal configuré. Comme les clients acceptent le premier DHCPOFFER reçu, le serveur pirate peut imposer passerelle, DNS, NTP, WPAD et autres options, ouvrant la voie au MITM, au DNS hijacking et à la capture de credentials. Souvent en deuxième étape après une DHCP starvation. Défenses : DHCP snooping avec port trusted pour le serveur légitime, RA Guard côté IPv6, contrôle d'accès (802.1X) avant tout trafic DHCP, et balayages continus pour détecter des répondants DHCP inattendus.
● Exemples
- 01
Raspberry Pi sous dnsmasq servant de DHCP et DNS pour intercepter le trafic d'entreprise.
- 02
Routeur domestique branché sur une prise du bureau s'annonçant comme serveur DHCP.
● Questions fréquentes
Qu'est-ce que Serveur DHCP pirate ?
Serveur DHCP non autorisé branché sur le réseau qui distribue des configurations IP, redirigeant intentionnellement ou non le trafic vers une infrastructure attaquante. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Serveur DHCP pirate ?
Serveur DHCP non autorisé branché sur le réseau qui distribue des configurations IP, redirigeant intentionnellement ou non le trafic vers une infrastructure attaquante.
Comment fonctionne Serveur DHCP pirate ?
Un serveur DHCP rogue est tout service DHCP fonctionnant sans autorisation sur un réseau. Il peut être malveillant (Raspberry Pi déposé dans une salle de réunion, VM sur un hôte compromis, routeur domestique branché) ou simplement mal configuré. Comme les clients acceptent le premier DHCPOFFER reçu, le serveur pirate peut imposer passerelle, DNS, NTP, WPAD et autres options, ouvrant la voie au MITM, au DNS hijacking et à la capture de credentials. Souvent en deuxième étape après une DHCP starvation. Défenses : DHCP snooping avec port trusted pour le serveur légitime, RA Guard côté IPv6, contrôle d'accès (802.1X) avant tout trafic DHCP, et balayages continus pour détecter des répondants DHCP inattendus.
Comment se défendre contre Serveur DHCP pirate ?
Les défenses contre Serveur DHCP pirate combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Serveur DHCP pirate ?
Noms alternatifs courants : Serveur DHCP non autorisé, DHCP malveillant.
● Termes liés
- attacks№ 312
Spoofing DHCP
Attaque dans laquelle un adversaire répond aux requêtes DHCP avec des offres forgées pour imposer une passerelle, un DNS ou d'autres options malveillantes aux clients.
- attacks№ 313
Starvation DHCP
Attaque de déni de service de couche 2 qui inonde un serveur DHCP de DISCOVER falsifiés avec des adresses MAC usurpées jusqu'à épuisement du pool d'adresses.
- attacks№ 062
Usurpation ARP
Attaque sur réseau local qui envoie des messages ARP falsifiés pour associer la MAC de l'attaquant à l'IP d'un autre hôte et rediriger le trafic.
- attacks№ 343
Usurpation DNS
Attaque qui injecte des réponses DNS falsifiées pour rediriger les victimes d'un domaine légitime vers une adresse IP contrôlée par l'attaquant.
- attacks№ 1207
VLAN hopping
Attaque sur switch permettant à un hôte d'envoyer ou recevoir des trames dans une VLAN à laquelle il ne devrait pas appartenir, en abusant de la négociation trunk ou du double tag 802.1Q.
● Voir aussi
- № 363Attaque DTP
- № 492Attaque HSRP / VRRP