Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1557.003 - DHCP-спуфинг

Техники:  T1557 , T1557.001 , T1557.002 , T1557.003 , T1557.004

Злоумышленники могут перенаправлять сетевой трафик на принадлежащие Злоумышленнику системы, подменяя трафик протокола динамической конфигурации хоста (DHCP) и выступая в роли вредоносного DHCP-сервера в сети жертвы. Занимая позицию "Злоумышленник посередине" (AiTM), злоумышленники могут собирать сетевые сообщения, включая переданные учетные данные, особенно отправленные по небезопасным, незашифрованным протоколам. Это также может привести к таким последующим действиям, как Network Sniffing или Transmitted Data Manipulation.

DHCP основан на клиент-серверной модели и имеет две функции: протокол для предоставления параметров конфигурации сети от DHCP-сервера клиенту и механизм для выделения сетевых адресов клиентам.(Цитата: rfc2131) Типичное взаимодействие сервера и клиента происходит следующим образом:

1. Клиент передает сообщение `DISCOVER`.

2. Сервер отвечает сообщением `OFFER`, которое содержит доступный сетевой адрес.

3. Клиент передает сообщение `REQUEST`, содержащее предложенный сетевой адрес.

4. Сервер подтверждает сообщение `ACK`, и клиент получает параметры конфигурации сети.

Злоумышленники могут подделываться под неавторизованный DHCP-сервер в сети жертвы, от которого легитимные узлы могут получать вредоносные сетевые конфигурации. Например, вредоносное ПО может выступать в роли DHCP-сервера и предоставлять принадлежащие Злоумышленнику DNS-серверы на пострадавшие компьютеры.(Цитата: new_rogue_DHCP_serv_malware)(Цитата: w32.tidserv.g) С помощью вредоносных сетевых конфигураций Злоумышленник может достичь позиции AiTM, направлять клиентский трафик через контролируемые Злоумышленником системы и собирать информацию из клиентской сети.

Клиенты DHCPv6 могут получать информацию о конфигурации сети без назначения IP-адреса, отправляя сообщение INFORMATION-REQUEST (код 11) на многоадресный адрес All_DHCP_Relay_Agents_and_Servers.(Цитата: rfc3315) Злоумышленники могут использовать свой неавторизованный DHCP-сервер для ответа на это сообщение запроса с вредоносными конфигурациями сети.

Вместо создания позиции AiTM злоумышленники могут также использовать подмену DHCP для проведения атаки на исчерпание DHCP (т. е. Service Exhaustion Flood), генерируя множество широковещательных сообщений DISCOVER, чтобы исчерпать пул распределения DHCP в сети.

https://attack.mitre.org/techniques/T1557/003

← Назад

Визуализация смежных техник для T1557.003

Отрасль:
 с подтехниками
Техника

Закрыть