Servidor DHCP não autorizado
O que é Servidor DHCP não autorizado?
Servidor DHCP não autorizadoServidor DHCP sem autorização ligado à rede que distribui configurações IP aos clientes, redirecionando intencional ou acidentalmente o tráfego para infraestrutura do atacante.
Um servidor DHCP rogue é qualquer serviço DHCP que opera numa rede sem autorização. Pode ser malicioso (um Raspberry Pi colocado numa sala de reuniões, uma VM num host comprometido ou um router doméstico) ou apenas mal configurado. Como os clientes aceitam o primeiro DHCPOFFER recebido, o servidor rogue pode definir gateway, DNS, NTP, WPAD e outras opções, viabilizando MITM, sequestro de DNS e roubo de credenciais. Costuma ser a segunda fase após uma starvation. Defesas: DHCP snooping com porta confiável para o servidor legítimo, RA Guard para IPv6, controlo de acesso (802.1X) antes de qualquer tráfego DHCP e varrimentos contínuos para detetar respondedores DHCP inesperados.
● Exemplos
- 01
Raspberry Pi com dnsmasq a servir DHCP e DNS para fazer MITM ao tráfego corporativo.
- 02
Router doméstico ligado a uma tomada do escritório anunciando-se como servidor DHCP.
● Perguntas frequentes
O que é Servidor DHCP não autorizado?
Servidor DHCP sem autorização ligado à rede que distribui configurações IP aos clientes, redirecionando intencional ou acidentalmente o tráfego para infraestrutura do atacante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Servidor DHCP não autorizado?
Servidor DHCP sem autorização ligado à rede que distribui configurações IP aos clientes, redirecionando intencional ou acidentalmente o tráfego para infraestrutura do atacante.
Como funciona Servidor DHCP não autorizado?
Um servidor DHCP rogue é qualquer serviço DHCP que opera numa rede sem autorização. Pode ser malicioso (um Raspberry Pi colocado numa sala de reuniões, uma VM num host comprometido ou um router doméstico) ou apenas mal configurado. Como os clientes aceitam o primeiro DHCPOFFER recebido, o servidor rogue pode definir gateway, DNS, NTP, WPAD e outras opções, viabilizando MITM, sequestro de DNS e roubo de credenciais. Costuma ser a segunda fase após uma starvation. Defesas: DHCP snooping com porta confiável para o servidor legítimo, RA Guard para IPv6, controlo de acesso (802.1X) antes de qualquer tráfego DHCP e varrimentos contínuos para detetar respondedores DHCP inesperados.
Como se defender contra Servidor DHCP não autorizado?
As defesas contra Servidor DHCP não autorizado costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Servidor DHCP não autorizado?
Nomes alternativos comuns: Servidor DHCP não autorizado, DHCP malicioso.
● Termos relacionados
- attacks№ 312
Spoofing de DHCP
Ataque em que o adversário responde a pedidos DHCP com ofertas forjadas para impor um gateway, DNS ou outras opções maliciosas aos clientes vítima.
- attacks№ 313
Starvation de DHCP
Ataque de negação de serviço de camada 2 que inunda um servidor DHCP com DISCOVER falsos usando MAC forjados até esgotar o pool de endereços.
- attacks№ 062
Spoofing de ARP
Ataque na rede local que envia mensagens ARP forjadas para associar o MAC do atacante ao IP de outro host e redirecionar o tráfego.
- attacks№ 343
Spoofing de DNS
Ataque que injeta respostas DNS falsificadas para redirecionar vítimas de um domínio legítimo para um IP controlado pelo atacante.
- attacks№ 1207
VLAN hopping
Ataque a switches que permite a um host enviar ou receber tramas numa VLAN a que não deveria pertencer, abusando da negociação de trunk ou do duplo tag 802.1Q.
● Veja também
- № 363Ataque DTP
- № 492Ataque HSRP / VRRP