Ein rogue DHCP-Server (rogue: engl. für Schurke) stört den Betrieb eines mittels DHCP verwalteten lokalen Netzwerks. Die Schadsoftware läuft dabei i. d. R. auf einem gewöhnlichen Arbeitsrechner, erscheint aber im Netzwerk wie ein gewöhnlicher DHCP-Server und gibt bei DHCP-Anfragen unsinnige bis schadhafte Antworten.
Arbeitsweise
Um Netzwerkzugriff zu erhalten, stellt ein Rechner (Client) eine Anfrage zur Zuweisung einer IP-Adresse und Informationen wie die IP-Adresse des zuständigen Router an einen DHCP-Server, indem er einen Broadcast (eine Art Rundruf) im lokalen Netzwerk verschickt. Auf diese Nachricht antwortet ein DHCP-Server. Ein rogue DHCP-Server versucht mit seiner Antwort schneller als der reguläre Server zu sein und übermittelt entweder manipulierte oder schlicht unbrauchbare Informationen.
Im harmlosen Fall kann man mit dieser Technik leicht ein Firmennetzwerk „lahmlegen“. Dazu reicht es beispielsweise, keinen Gateway zu übermitteln, oder jedem Client wird ein eigenes Subnetz zugewiesen und somit die Verbindung weitestgehend eingeschränkt.
Für die Netzwerksicherheit weit drastischere Auswirkungen hat das gezielte Umlenken des Datenverkehrs, indem dem fragenden Rechner Adressen von schadhaften DNS-Server oder Router (Gateway) übermittelt werden. So kann beispielsweise ein Router angegeben werden, der den Datenverkehr des Clients mitschneidet oder einen Man-in-the-middle-Angriff vorbereitet.
Gegenmaßnamen:
- RogueDetect ist ein Perl-Script mit dem DHCP-Anfragen ins Netz gesendet und die Antworten ausgewertet werden können. Das freie Script kann als Daemon eingesetzt und erweitert werden.
- Open DHCP Locate ist eine Freie Software zum Auffinden von DHCP Problemen
- Unter dem Namen DHCP-Snooping bietet der Switchhersteller CISCO entsprechende Software für seine Hardware an