MAC flooding

MAC flooding − technika ataku w sieciach komputerowych pozwalająca na zakłócenie pracy przełączników.

Jest to atak typu Denial of Service, którego celem jest zaburzenie poprawnej pracy urządzeń. Opiera się on na wykorzystaniu ograniczonej wielkości tablicy w pamięci CAM przełącznika. Po zapełnieniu jej rozmiaru urządzenie zachowuje się jak koncentrator, a tym samym pakiety zostają przekierowywane na wszystkie porty.

Podstawą pracy przełączników jest tablica MAC, która przypisuje poszczególne adresy MAC w sieci do fizycznych portów przełącznika. Pozwala to na przekierowanie pakietu danych do portu fizycznego, do którego podłączony jest odbiorca. Zaletą tej metody jest to, że dane przekazywane są wyłącznie we fragmencie sieci zawierającej komputer odbiorcy, co znacznie utrudnia podsłuch w sieci. W typowym ataku MAC flooding, przełączniki otrzymują bardzo wiele pakietów, z których każdy zawiera inny adres źródłowy MAC. W ten sposób pamięć urządzenia zostaje przepełniona, wyłączony zostaje mechanizm przekierowywania, a więc wszelki posłuch staje się znacznie łatwiejszy[1].

Po przeprowadzeniu udanego ataku MAC flooding, złowrogi użytkownik może wykorzystać analizator pakietów, aby przechwycić poufne dane przesyłane między innymi komputerami, które nie byłyby dostępne gdyby przełącznik działał poprawnie. Atakujący może dodatkowo przeprowadzić atak typu ARP spoofing, który pozwoli mu zachować dostęp do danych poufnych, zanim urządzenie odzyska sprawność działania po pierwszym ataku MAC flooding.

Metody ochrony

Współczesne urządzenia sieciowe udostępniają wiele metod zabezpieczenia przed tego typu atakami, na przykład:

  • Zabezpieczenie "port security". Zaawansowane przełączniki mają możliwość ograniczenia liczby adresów MAC, które mogą być przypisane do jednego portu[2].
  • Wielu producentów pozwala na kontrolę dostępu do przełącznika na podstawie adresu MAC poprzez protokół AAA[3].
  • Metody zabezpieczenia przed atakami ARP spoofing, IP spoofing, Unicast flooding mogą być również skuteczne, jednak jest to zależne od implementacji.

Zobacz też

  • ARP spoofing

Przypisy

  1. VLAN Security White Paper (Cisco Catalyst 6500 Series Switches), Cisco, http://web.archive.org/web/20141123062129/http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml
  2. Business Series Smart Gigabit Ethernet Switch User Guide, Linksys, 2007, p. 22
  3. Mac Auth, FreeRadius, 2013, http://wiki.freeradius.org/guide/Mac%20Auth, dostęp: 2014-02-06