# AN1292 — Analytic 1292 ## Descrição Detecta spoofing DHCP no macOS monitorando unified logs para parâmetros DHCP ACK/OFFER inesperados e correlacionando com capturas de pacotes que identifiquem múltiplos servidores DHCP. O foco comportamental está em atribuições inconsistentes de DNS e gateway que redirecionam o tráfego. A telemetria inclui unified logs do macOS (`log show`), capturas de pacotes via Wireshark/tcpdump e alertas de configuração de rede via `networksetup`. Esta detecção é essencial para identificar ataques de man-in-the-middle em redes onde dispositivos macOS recebem configurações de rede forjadas que redirecionam consultas DNS para resolvers controlados pelo atacante. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1557-003-dhcp-spoofing|T1557.003 — DHCP Spoofing]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1292](https://attack.mitre.org/detectionstrategies/DET0468#AN1292)*