det0468-detect-dhcp-spoofing-across-linux-windows-and-macos

# DET0468 — Detect DHCP Spoofing Across Linux, Windows, and macOS ## Descrição DHCP Spoofing é um ataque em que um adversário configura um servidor DHCP não autorizado (rogue DHCP server) na rede local para responder às solicitações de endereço IP de clientes antes que o servidor DHCP legítimo possa fazê-lo. Ao fornecer configurações de rede falsas — especialmente o endereço do gateway padrão e dos servidores DNS — o atacante pode posicionar-se como man-in-the-middle para o tráfego de toda a rede, capturar credenciais e manipular comúnicações. O ataque é multiplataforma: qualquer sistema com acesso à rede local pode ser configurado como servidor DHCP rogue, usando ferramentas como `dnsmasq`, `isc-dhcp-server` ou scripts Python. Em redes sem proteção de DHCP Snooping nos switches, o ataque pode ser executado sem necessidade de comprometer infraestrutura de rede — apenas um endpoint comprometido é suficiente. A combinação com DNS Spoofing subsequente permite redirecionar usuários para páginas de phishing sem que o endereço do servidor legítimo mude. A detecção multi-plataforma envolve monitorar respostas DHCP de servidores não autorizados (DHCP Snooping nos switches), identificar hosts que respondem a DHCPDISCOVER além do servidor legítimo, e alertar sobre mudanças de gateway nos clientes que não sejam provenientes do servidor DHCP autorizado. ## Indicadores de Detecção - Resposta DHCPOFFER de IP que não é o servidor DHCP autorizado para o segmento de rede - Mudança de gateway padrão em cliente DHCP para endereço diferente do provisionado pelo servidor legítimo - Servidor DHCP rogue identificado pelo switch via DHCP Snooping (evento de violação de snooping) - Host Linux/macOS com processo `dnsmasq` ou `dhcpd` escutando em porta UDP 67 - Log de cliente Windows indicando obtenção de endereço IP de servidor DHCP desconhecido - ARP gratuito de gateway legítimo sendo substituído por ARP de endereço MAC diferente (indicando ARP spoofing combinado) ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[T1557003-dhcp-spoofing|T1557.003 — DHCP Spoofing]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[T1565001-stored-data-manipulation|T1565.001 — Stored Data Manipulation]] - [[T1071004-dns|T1071.004 — DNS]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] ## Analytics Relacionadas - [[an1290-analytic-1290|AN1290 — Analytic 1290]] - [[an1291-analytic-1291|AN1291 — Analytic 1291]] - [[an1292-analytic-1292|AN1292 — Analytic 1292]] --- *Fonte: [MITRE ATT&CK — DET0468](https://attack.mitre.org/detectionstrategies/DET0468)*