DHCP-голодание
Что такое DHCP-голодание?
DHCP-голоданиеАтака отказа в обслуживании на уровне 2, заваливающая DHCP-сервер поддельными DISCOVER-запросами с подменёнными MAC-адресами до исчерпания пула адресов.
DHCP-голодание — атака на протокол DHCP. Злоумышленник с помощью Yersinia, dhcpstarv или собственного скрипта Scapy шлёт поток DHCPDISCOVER, каждый с уникальным подменённым клиентским MAC. DHCP-сервер резервирует lease для каждого фиктивного клиента, пока пул не исчерпан, после чего легитимные хосты не могут получить IP. Часто это первая стадия атаки с подменным DHCP: исчерпав легитимный сервер, злоумышленник отвечает на новые запросы вредоносной конфигурацией (шлюз, DNS), переходя к спуфингу или MITM. Защита: DHCP snooping с rate-limit на коммутаторах, port-security с ограничением MAC на порт, ARP inspection и 802.1X для аутентификации устройств до выдачи доступа.
● Примеры
- 01
Атака Yersinia "sending DISCOVER packets" против сервера Cisco DHCP с целью опустошения пула.
- 02
Сочетание голодания с подменным DHCP-сервером для распространения вредоносного DNS среди новых клиентов.
● Частые вопросы
Что такое DHCP-голодание?
Атака отказа в обслуживании на уровне 2, заваливающая DHCP-сервер поддельными DISCOVER-запросами с подменёнными MAC-адресами до исчерпания пула адресов. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает DHCP-голодание?
Атака отказа в обслуживании на уровне 2, заваливающая DHCP-сервер поддельными DISCOVER-запросами с подменёнными MAC-адресами до исчерпания пула адресов.
Как работает DHCP-голодание?
DHCP-голодание — атака на протокол DHCP. Злоумышленник с помощью Yersinia, dhcpstarv или собственного скрипта Scapy шлёт поток DHCPDISCOVER, каждый с уникальным подменённым клиентским MAC. DHCP-сервер резервирует lease для каждого фиктивного клиента, пока пул не исчерпан, после чего легитимные хосты не могут получить IP. Часто это первая стадия атаки с подменным DHCP: исчерпав легитимный сервер, злоумышленник отвечает на новые запросы вредоносной конфигурацией (шлюз, DNS), переходя к спуфингу или MITM. Защита: DHCP snooping с rate-limit на коммутаторах, port-security с ограничением MAC на порт, ARP inspection и 802.1X для аутентификации устройств до выдачи доступа.
Как защититься от DHCP-голодание?
Защита от DHCP-голодание обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DHCP-голодание?
Распространённые альтернативные названия: Исчерпание пула DHCP, DoS DHCP.
● Связанные термины
- attacks№ 312
Подмена DHCP
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
- attacks№ 944
Поддельный DHCP-сервер
Несанкционированный DHCP-сервер в сети, раздающий клиентам IP-конфигурацию и направляющий трафик к инфраструктуре, контролируемой злоумышленником, преднамеренно или случайно.
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 1207
VLAN-хопинг
Атака на коммутаторы, позволяющая хосту отправлять или получать кадры в чужом VLAN за счёт злоупотребления согласованием транка или двойной меткой 802.1Q.
- attacks№ 1072
Атака на Spanning Tree Protocol
Атака уровня 2, в которой подделанные BPDU-кадры используются для манипуляции топологией STP, как правило, чтобы выбрать узел злоумышленника корневым мостом для MITM или DoS.