Rogue DHCP

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein rogue DHCP-Server stört den Betrieb eines mittels DHCP verwalteten lokalen Netzwerks. Er agiert als eigenständiger Server, der neben dem im Netzwerk vorgesehen Server existiert. Ein rogue DHCP-Server kann für Angriffe auf ein Netzwerk eingesetzt werden oder Ergebnis einer Fehlkonfiguration sein.

Arbeitsweise[Bearbeiten]

Um Netzwerkzugriff zu erhalten, stellt ein Client die Anfrage zur Zuweisung einer IP-Adresse an den DHCP-Server, indem er einen Broadcast im lokalen Netzwerk verschickt, den alle Netzwerkteilnehmer erhalten. Auf diese Nachricht antwortet nur der DHCP-Server und überträgt die für den weiteren Netzwerkzugriff notwendigen Daten. Nun versucht der rogue DHCP-Server mit seiner Antwort schneller als der reguläre Server zu sein und übermittelt entweder manipulierte oder schlicht unbrauchbare Parameter.

Im harmlosen Fall kann man mit dieser Technik leicht ein Firmennetzwerk „lahmlegen“. Dazu reicht es beispielsweise, keinen Gateway zu übermitteln, oder jedem Client wird ein eigenes Subnetz zugewiesen und somit die Verbindung weitestgehend eingeschränkt. Für die Netzwerksicherheit weit drastischere Auswirkungen hat das gezielte Umlenken des Datenverkehrs, indem man DHCP-Optionen wie DNS-Server oder Gateway übermittelt und dabei beispielsweise einen Router einschleust, der den Datenverkehr des Clients von da ab mitschneidet oder einen Janusangriff vorbereitet.

Gegenmaßnahme[Bearbeiten]

Um solche Server im Netzwerk aufzuspüren, liefert das ResourceKit von Microsoft ein Tool namens „DHCPloc“ mit. So kann man Server identifizieren, jedoch nicht ausschalten. Eine Methode, solche Switches zu handhaben, ist die Funktion „DHCP Snooping“, die das Weiterleiten gefälschter DHCP-Pakete verhindert. Dieses Feature sollte jedoch nur eingesetzt werden, wenn Clients direkt angeschlossen sind, da der gesamte Port gesperrt wird, wenn ein Angriff stattfindet.

Weblinks[Bearbeiten]