DHCP スプーフィング
DHCP スプーフィング とは何ですか?
DHCP スプーフィング攻撃者が DHCP 要求に偽の応答を返し、悪意あるゲートウェイや DNS などのオプションを被害クライアントに配布する攻撃。
DHCP スプーフィングは、同一ブロードキャスト ドメイン上の攻撃者が、正規 DHCP サーバーより早く(あるいは代わりに)DHCPDISCOVER/REQUEST に応答し、偽造した DHCPOFFER/ACK を返す攻撃です。偽の構成では多くの場合、攻撃者がデフォルト ゲートウェイおよび DNS リゾルバーとなり、トラフィック傍受、資格情報奪取、TLS ダウングレード試行、DNS リダイレクトなどが可能になります。DHCP スターベーションで正規サーバーを無力化すれば効果は最大化されます。Ettercap や Bettercap など多くの MITM ツールの基礎を成します。対策はトラステッド ポートを設定した DHCP Snooping、Dynamic ARP Inspection、IP Source Guard、IPv6 における RA Guard、ブロードキャスト ドメイン縮小のためのセグメンテーションです。
● 例
- 01
Bettercap の dhcp.spoof モジュールが攻撃者を指す 192.168.1.66 をゲートウェイとして配布する。
- 02
攻撃者の DNS(例: 198.51.100.10)を配布し、HTTP リクエストをフィッシング サイトへリダイレクトする。
● よくある質問
DHCP スプーフィング とは何ですか?
攻撃者が DHCP 要求に偽の応答を返し、悪意あるゲートウェイや DNS などのオプションを被害クライアントに配布する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
DHCP スプーフィング とはどういう意味ですか?
攻撃者が DHCP 要求に偽の応答を返し、悪意あるゲートウェイや DNS などのオプションを被害クライアントに配布する攻撃。
DHCP スプーフィング はどのように機能しますか?
DHCP スプーフィングは、同一ブロードキャスト ドメイン上の攻撃者が、正規 DHCP サーバーより早く(あるいは代わりに)DHCPDISCOVER/REQUEST に応答し、偽造した DHCPOFFER/ACK を返す攻撃です。偽の構成では多くの場合、攻撃者がデフォルト ゲートウェイおよび DNS リゾルバーとなり、トラフィック傍受、資格情報奪取、TLS ダウングレード試行、DNS リダイレクトなどが可能になります。DHCP スターベーションで正規サーバーを無力化すれば効果は最大化されます。Ettercap や Bettercap など多くの MITM ツールの基礎を成します。対策はトラステッド ポートを設定した DHCP Snooping、Dynamic ARP Inspection、IP Source Guard、IPv6 における RA Guard、ブロードキャスト ドメイン縮小のためのセグメンテーションです。
DHCP スプーフィング からどのように防御しますか?
DHCP スプーフィング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DHCP スプーフィング の別名は何ですか?
一般的な別名: DHCP オプション スプーフィング, 偽 DHCP 応答。
● 関連用語
- attacks№ 313
DHCP スターベーション
偽装 MAC を用いた DISCOVER 要求で DHCP サーバーを溢れさせ、アドレス プールを枯渇させるレイヤー 2 のサービス拒否攻撃。
- attacks№ 944
ローグ DHCP サーバー
ネットワークに接続された無認可の DHCP サーバーが IP 構成を配布し、トラフィックを意図的または意図せず攻撃者制御の基盤へ誘導する状態。
- attacks№ 062
ARP スプーフィング
ローカルネットワーク上で偽の ARP メッセージを送信し、攻撃者の MAC アドレスを他ホストの IP に結びつけて通信を奪取する攻撃。
- attacks№ 343
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
- attacks№ 1207
VLAN ホッピング
トランク ネゴシエーションや 802.1Q 二重タグを悪用し、ホストが本来属さない VLAN にフレームを送受信できるようにするスイッチへの攻撃。
● 関連項目
- № 1072スパニング ツリー プロトコル攻撃
- № 363DTP 攻撃
- № 492HSRP / VRRP 攻撃
- № 865プロミスキャス モード