# AN1290 — Analytic 1290 ## Descrição Detecta atividade de servidor DHCP desonesto e mensagens DHCP OFFER/ACK anômalas que atribuem valores DNS ou de gateway inesperados. A detecção correlaciona alterações na função de servidor DHCP, avisos de esgotamento do DHCP e mudanças repentinas de configuração de rede em endpoints. A telemetria inclui logs de eventos DHCP do Windows (Event IDs 1020/1036), logs do servidor DNS e dados de fluxo de rede para identificar múltiplos servidores DHCP competindo. Esta detecção é importante para identificar ataques de man-in-the-middle onde adversários redirecionam tráfego de rede atribuindo gateways ou servidores DNS maliciosos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1557-003-dhcp-spoofing|T1557.003 — DHCP Spoofing]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1290](https://attack.mitre.org/detectionstrategies/DET0468#AN1290)*