# AN1291 — Analytic 1291 ## Descrição Detecta atividade de DHCP desonesto no Linux monitorando o syslog para mensagens do dhclient que atribuem valores DNS ou gateway não autorizados. Captura de pacotes ou IDS pode detectar múltiplos OFFERs DHCP concorrentes de servidores não autorizados. A telemetria inclui logs do syslog (`/var/log/syslog`), saídas do `dhclient`, alertas de IDS como Snort/Suricata e captura de pacotes via tcpdump ou Zeek. Esta detecção é relevante para identificar ataques de spoofing DHCP em redes Linux que podem redirecionar resolução DNS ou tráfego de saída para infraestrutura controlada pelo adversário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1557-003-dhcp-spoofing|T1557.003 — DHCP Spoofing]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1291](https://attack.mitre.org/detectionstrategies/DET0468#AN1291)*