Entry № 349
DHCP 欺骗
DHCP 欺骗 是什么?
DHCP 欺骗攻击者通过伪造的应答回应 DHCP 请求,向受害客户端下发恶意网关、DNS 或其他选项的攻击。
DHCP 欺骗指同一广播域内的攻击者比合法 DHCP 服务器更快(或代替其)响应 DHCPDISCOVER/REQUEST,下发伪造的 DHCPOFFER/ACK。伪造配置通常将攻击者设为默认网关与 DNS 解析器,从而实现流量拦截、凭据捕获、TLS 降级尝试或 DNS 重定向。与 DHCP 饥饿攻击配合使用,效果最佳。该手法是 Ettercap、Bettercap 等 MITM 工具的基础。防御措施:启用具有可信端口的 DHCP Snooping、动态 ARP 检查、IP Source Guard、用于 IPv6 的 RA Guard,以及通过网络分段限制广播域。
● 示例
- 01
Bettercap 的 dhcp.spoof 模块下发指向攻击者的 192.168.1.66 网关。
- 02
将攻击者 DNS(例如 198.51.100.10)推送给客户端,使 HTTP 请求被重定向至钓鱼网站。
● 常见问题
DHCP 欺骗 是什么?
攻击者通过伪造的应答回应 DHCP 请求,向受害客户端下发恶意网关、DNS 或其他选项的攻击。 它属于网络安全的 攻击与威胁 分类。
DHCP 欺骗 是什么意思?
攻击者通过伪造的应答回应 DHCP 请求,向受害客户端下发恶意网关、DNS 或其他选项的攻击。
如何防御 DHCP 欺骗?
针对 DHCP 欺骗 的防御通常结合技术控制与运营实践,详见上方完整定义。
DHCP 欺骗 还有哪些其他名称?
常见的别称包括: DHCP 选项欺骗, 伪造 DHCP 应答。