非法 DHCP 服务器
非法 DHCP 服务器 是什么?
非法 DHCP 服务器连接到网络的未授权 DHCP 服务器,向客户端下发 IP 配置,有意或无意地将流量重定向到攻击者控制的基础设施。
非法 DHCP 服务器(rogue DHCP)是任何未经授权在网络上运行的 DHCP 服务,可能是恶意的(放置在会议室的 Raspberry Pi、被入侵主机上的虚拟机或员工带来的家用路由器),也可能是配置错误的设备。由于客户端会接受先到的 DHCPOFFER,非法服务器可主导网关、DNS、NTP、WPAD 等选项,实现 MITM、DNS 劫持与凭据捕获。它常作为 DHCP 饥饿攻击的第二阶段。防御措施:为合法服务器配置受信任端口的 DHCP Snooping、为 IPv6 启用 RA Guard、在所有 DHCP 流量之前通过 802.1X 控制接入,以及持续扫描发现意外的 DHCP 响应方。
● 示例
- 01
在会议室部署的 Raspberry Pi 运行 dnsmasq 作为 DHCP 与 DNS,对企业流量进行 MITM。
- 02
员工的家用路由器接入办公网口并以 DHCP 服务器身份对外通告。
● 常见问题
非法 DHCP 服务器 是什么?
连接到网络的未授权 DHCP 服务器,向客户端下发 IP 配置,有意或无意地将流量重定向到攻击者控制的基础设施。 它属于网络安全的 攻击与威胁 分类。
非法 DHCP 服务器 是什么意思?
连接到网络的未授权 DHCP 服务器,向客户端下发 IP 配置,有意或无意地将流量重定向到攻击者控制的基础设施。
非法 DHCP 服务器 是如何工作的?
非法 DHCP 服务器(rogue DHCP)是任何未经授权在网络上运行的 DHCP 服务,可能是恶意的(放置在会议室的 Raspberry Pi、被入侵主机上的虚拟机或员工带来的家用路由器),也可能是配置错误的设备。由于客户端会接受先到的 DHCPOFFER,非法服务器可主导网关、DNS、NTP、WPAD 等选项,实现 MITM、DNS 劫持与凭据捕获。它常作为 DHCP 饥饿攻击的第二阶段。防御措施:为合法服务器配置受信任端口的 DHCP Snooping、为 IPv6 启用 RA Guard、在所有 DHCP 流量之前通过 802.1X 控制接入,以及持续扫描发现意外的 DHCP 响应方。
如何防御 非法 DHCP 服务器?
针对 非法 DHCP 服务器 的防御通常结合技术控制与运营实践,详见上方完整定义。
非法 DHCP 服务器 还有哪些其他名称?
常见的别称包括: 未授权 DHCP 服务器, 恶意 DHCP。
● 相关术语
- attacks№ 312
DHCP 欺骗
攻击者通过伪造的应答回应 DHCP 请求,向受害客户端下发恶意网关、DNS 或其他选项的攻击。
- attacks№ 313
DHCP 饥饿攻击
针对二层的拒绝服务攻击,使用伪造 MAC 地址向 DHCP 服务器发送大量 DISCOVER 请求,直到地址池耗尽。
- attacks№ 062
ARP 欺骗
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
- attacks№ 343
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
- attacks№ 1207
VLAN 跳跃
针对交换机的攻击,通过滥用 trunk 协商或 802.1Q 双标签,使主机能够发送或接收原本不属于其所在 VLAN 的帧。
● 参见
- № 363DTP 攻击
- № 492HSRP / VRRP 攻击