Подмена DHCP
Что такое Подмена DHCP?
Подмена DHCPАтака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
Подмена DHCP происходит, когда злоумышленник в той же широковещательной области отвечает на DHCPDISCOVER/REQUEST быстрее или вместо легитимного сервера, отправляя поддельный DHCPOFFER/ACK. Подменная конфигурация обычно указывает злоумышленника шлюзом по умолчанию и DNS-резолвером, что открывает перехват трафика, кражу учётных данных, попытки даунгрейда TLS и подмену DNS. Эффективнее всего работает в связке с DHCP-голоданием, выключающим настоящий сервер. Лежит в основе многих MITM-инструментов — Ettercap, Bettercap. Защита: DHCP snooping с trusted-портами, Dynamic ARP Inspection, IP Source Guard, RA Guard для IPv6 и сегментация для ограничения широковещательных доменов.
● Примеры
- 01
Модуль dhcp.spoof в Bettercap выдаёт шлюз 192.168.1.66, указывающий на злоумышленника.
- 02
Подмена DNS (например, 198.51.100.10) для перенаправления HTTP-запросов на фишинговый сайт.
● Частые вопросы
Что такое Подмена DHCP?
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Подмена DHCP?
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
Как работает Подмена DHCP?
Подмена DHCP происходит, когда злоумышленник в той же широковещательной области отвечает на DHCPDISCOVER/REQUEST быстрее или вместо легитимного сервера, отправляя поддельный DHCPOFFER/ACK. Подменная конфигурация обычно указывает злоумышленника шлюзом по умолчанию и DNS-резолвером, что открывает перехват трафика, кражу учётных данных, попытки даунгрейда TLS и подмену DNS. Эффективнее всего работает в связке с DHCP-голоданием, выключающим настоящий сервер. Лежит в основе многих MITM-инструментов — Ettercap, Bettercap. Защита: DHCP snooping с trusted-портами, Dynamic ARP Inspection, IP Source Guard, RA Guard для IPv6 и сегментация для ограничения широковещательных доменов.
Как защититься от Подмена DHCP?
Защита от Подмена DHCP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Подмена DHCP?
Распространённые альтернативные названия: Подмена опций DHCP, Поддельный DHCP-ответ.
● Связанные термины
- attacks№ 313
DHCP-голодание
Атака отказа в обслуживании на уровне 2, заваливающая DHCP-сервер поддельными DISCOVER-запросами с подменёнными MAC-адресами до исчерпания пула адресов.
- attacks№ 944
Поддельный DHCP-сервер
Несанкционированный DHCP-сервер в сети, раздающий клиентам IP-конфигурацию и направляющий трафик к инфраструктуре, контролируемой злоумышленником, преднамеренно или случайно.
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 343
Подмена DNS
Атака, при которой подделанные DNS-ответы перенаправляют жертву с легитимного домена на IP-адрес, контролируемый злоумышленником.
- attacks№ 1207
VLAN-хопинг
Атака на коммутаторы, позволяющая хосту отправлять или получать кадры в чужом VLAN за счёт злоупотребления согласованием транка или двойной меткой 802.1Q.
● См. также
- № 1072Атака на Spanning Tree Protocol
- № 363Атака на DTP
- № 492Атака на HSRP / VRRP
- № 865Прослушивающий режим