Rogue DHCP — подмена сетевых настроек
▌ Что такое Rogue DHCP?
Атака, при которой злоумышленник:
• Раздает ложные DHCP-ответы
• Подменяет основные сетевые параметры:
- Шлюз по умолчанию
- DNS-серверы
- NTP-серверы
▌ Механизм работы
1. Жертва отправляет DHCP Discover
2. Атакующий отвечает быстрее легитимного сервера
3. Клиент получает вредоносные настройки:
Код:
IP: 192.168.1.50
Gateway: 192.168.1.100 (атакующий)
DNS: 192.168.1.100 (атакующий)▌ Инструменты для атаки
- dhcpspoof (из пакета dsniff)
- yersinia -G (режим DHCP)
- metasploit (модуль auxiliary/server/dhcp)
- python-scapy (ручное создание пакетов)
▌ Пример через dhcpspoof
Код:
dhcpspoof -i eth0 -r 192.168.1.1▌ Основные угрозы
• Перехват всего трафика (MITM)
• Фишинг через подмену DNS
• Кража учетных данных
• SSL Stripping
▌ Методы защиты
- DHCP Snooping на коммутаторах:
Код:ip dhcp snooping - Фильтрация DHCP-ответов:
Код:ip dhcp snooping trust - 802.1X аутентификация
- Мониторинг DHCP-трафика
▌ Реальные инциденты
• Атака на корпоративную сеть (2020) — утечка 34,000 записей
• Уязвимость в IP-телефонии (CVE-2021-27850)
• Кейс с подменой DNS в кафе (2019)