ローグ DHCP サーバー
ローグ DHCP サーバー とは何ですか?
ローグ DHCP サーバーネットワークに接続された無認可の DHCP サーバーが IP 構成を配布し、トラフィックを意図的または意図せず攻撃者制御の基盤へ誘導する状態。
ローグ DHCP サーバーは、認可なくネットワーク上で稼働する DHCP サービス全般を指します。会議室に仕掛けた Raspberry Pi、侵害ホスト上の仮想マシン、社員が持ち込んだ家庭用ルーターなど悪意あるものから、単なる設定ミスのデバイスまで含みます。クライアントは最初に届いた DHCPOFFER を受け入れるため、ローグ サーバーはゲートウェイ、DNS、NTP、WPAD などのオプションを支配し、MITM、DNS ハイジャック、資格情報の窃取を可能にします。多くの場合 DHCP スターベーションの第 2 段階として用いられます。対策は、正規サーバーのみをトラステッド ポートとする DHCP Snooping、IPv6 の RA Guard、DHCP 通信前の 802.1X による NAC、想定外の DHCP 応答者を検出する継続的なスキャンです。
● 例
- 01
Raspberry Pi 上の dnsmasq を DHCP と DNS として動作させ、企業トラフィックを MITM する。
- 02
社員の家庭用ルーターをオフィス ポートに接続し、DHCP サーバーとして広告する。
● よくある質問
ローグ DHCP サーバー とは何ですか?
ネットワークに接続された無認可の DHCP サーバーが IP 構成を配布し、トラフィックを意図的または意図せず攻撃者制御の基盤へ誘導する状態。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ローグ DHCP サーバー とはどういう意味ですか?
ネットワークに接続された無認可の DHCP サーバーが IP 構成を配布し、トラフィックを意図的または意図せず攻撃者制御の基盤へ誘導する状態。
ローグ DHCP サーバー はどのように機能しますか?
ローグ DHCP サーバーは、認可なくネットワーク上で稼働する DHCP サービス全般を指します。会議室に仕掛けた Raspberry Pi、侵害ホスト上の仮想マシン、社員が持ち込んだ家庭用ルーターなど悪意あるものから、単なる設定ミスのデバイスまで含みます。クライアントは最初に届いた DHCPOFFER を受け入れるため、ローグ サーバーはゲートウェイ、DNS、NTP、WPAD などのオプションを支配し、MITM、DNS ハイジャック、資格情報の窃取を可能にします。多くの場合 DHCP スターベーションの第 2 段階として用いられます。対策は、正規サーバーのみをトラステッド ポートとする DHCP Snooping、IPv6 の RA Guard、DHCP 通信前の 802.1X による NAC、想定外の DHCP 応答者を検出する継続的なスキャンです。
ローグ DHCP サーバー からどのように防御しますか?
ローグ DHCP サーバー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ローグ DHCP サーバー の別名は何ですか?
一般的な別名: 無認可 DHCP サーバー, 悪意ある DHCP。
● 関連用語
- attacks№ 312
DHCP スプーフィング
攻撃者が DHCP 要求に偽の応答を返し、悪意あるゲートウェイや DNS などのオプションを被害クライアントに配布する攻撃。
- attacks№ 313
DHCP スターベーション
偽装 MAC を用いた DISCOVER 要求で DHCP サーバーを溢れさせ、アドレス プールを枯渇させるレイヤー 2 のサービス拒否攻撃。
- attacks№ 062
ARP スプーフィング
ローカルネットワーク上で偽の ARP メッセージを送信し、攻撃者の MAC アドレスを他ホストの IP に結びつけて通信を奪取する攻撃。
- attacks№ 343
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
- attacks№ 1207
VLAN ホッピング
トランク ネゴシエーションや 802.1Q 二重タグを悪用し、ホストが本来属さない VLAN にフレームを送受信できるようにするスイッチへの攻撃。
● 関連項目
- № 363DTP 攻撃
- № 492HSRP / VRRP 攻撃