Поддельный DHCP-сервер
Что такое Поддельный DHCP-сервер?
Поддельный DHCP-серверНесанкционированный DHCP-сервер в сети, раздающий клиентам IP-конфигурацию и направляющий трафик к инфраструктуре, контролируемой злоумышленником, преднамеренно или случайно.
Поддельный (rogue) DHCP-сервер — любая DHCP-служба, работающая в сети без разрешения. Это может быть вредоносное устройство (Raspberry Pi в переговорной, виртуалка на скомпрометированном хосте, домашний роутер) или просто неверно настроенный аппарат. Поскольку клиенты принимают первый пришедший DHCPOFFER, такой сервер задаёт шлюз, DNS, NTP, WPAD и другие опции, открывая дорогу MITM, перехвату DNS и краже учётных данных. Часто это вторая стадия после DHCP-голодания. Защита: DHCP snooping с доверенным портом для легитимного сервера, RA Guard для IPv6, NAC (802.1X) до любого DHCP-трафика и постоянный поиск неожиданных DHCP-ответчиков.
● Примеры
- 01
Raspberry Pi с dnsmasq, выступающий как DHCP и DNS для MITM корпоративного трафика.
- 02
Домашний роутер сотрудника, подключённый к офисной розетке и анонсирующий себя как DHCP-сервер.
● Частые вопросы
Что такое Поддельный DHCP-сервер?
Несанкционированный DHCP-сервер в сети, раздающий клиентам IP-конфигурацию и направляющий трафик к инфраструктуре, контролируемой злоумышленником, преднамеренно или случайно. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Поддельный DHCP-сервер?
Несанкционированный DHCP-сервер в сети, раздающий клиентам IP-конфигурацию и направляющий трафик к инфраструктуре, контролируемой злоумышленником, преднамеренно или случайно.
Как работает Поддельный DHCP-сервер?
Поддельный (rogue) DHCP-сервер — любая DHCP-служба, работающая в сети без разрешения. Это может быть вредоносное устройство (Raspberry Pi в переговорной, виртуалка на скомпрометированном хосте, домашний роутер) или просто неверно настроенный аппарат. Поскольку клиенты принимают первый пришедший DHCPOFFER, такой сервер задаёт шлюз, DNS, NTP, WPAD и другие опции, открывая дорогу MITM, перехвату DNS и краже учётных данных. Часто это вторая стадия после DHCP-голодания. Защита: DHCP snooping с доверенным портом для легитимного сервера, RA Guard для IPv6, NAC (802.1X) до любого DHCP-трафика и постоянный поиск неожиданных DHCP-ответчиков.
Как защититься от Поддельный DHCP-сервер?
Защита от Поддельный DHCP-сервер обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Поддельный DHCP-сервер?
Распространённые альтернативные названия: Несанкционированный DHCP-сервер, Вредоносный DHCP.
● Связанные термины
- attacks№ 312
Подмена DHCP
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
- attacks№ 313
DHCP-голодание
Атака отказа в обслуживании на уровне 2, заваливающая DHCP-сервер поддельными DISCOVER-запросами с подменёнными MAC-адресами до исчерпания пула адресов.
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 343
Подмена DNS
Атака, при которой подделанные DNS-ответы перенаправляют жертву с легитимного домена на IP-адрес, контролируемый злоумышленником.
- attacks№ 1207
VLAN-хопинг
Атака на коммутаторы, позволяющая хосту отправлять или получать кадры в чужом VLAN за счёт злоупотребления согласованием транка или двойной меткой 802.1Q.
● См. также
- № 363Атака на DTP
- № 492Атака на HSRP / VRRP