MAC Flooding Adresse - attaques de débordement de la table d'adresses MAC
Adresse MAC attaque d'inondation est très commune attaque de sécurité. table d'adresses MAC dans le commutateur a les adresses MAC disponibles sur un port physique donné d'un commutateur et les paramètres VLAN associés pour chacun.
MAC attaques d'inondation sont parfois appelées attaques de débordement de la table d'adresses MAC. Pour comprendre le mécanisme d'une attaque de débordement de la table d'adresses MAC, nous devons rappeler comment fonctionne un interrupteur en premier lieu.
Passer avant l'attaque
Lorsque le commutateur reçoit une trame, il regarde dans la table d'adresses MAC (parfois appelée table CAM) pour l'adresse MAC de destination. Cisco commutateur Catalyst modèles utilisent une table d'adresses MAC pour la commutation de couche 2. Lorsque les trames arrivent sur les ports de commutation, les adresses MAC source sont tirées de la couche 2 en-tête de paquet et enregistré dans la table d'adresses MAC. Si le commutateur a déjà appris l'adresse MAC de l'ordinateur connecté à son port particulier alors une entrée existe pour l'adresse MAC. Dans ce cas, le commutateur transmet la trame au port d'adresse MAC désignée dans la table d'adresses MAC. Si l'adresse MAC n'existe pas, le commutateur agit comme un concentrateur et transmet le cadre sur tous les autres ports du commutateur tout en apprenant le MAC pour la prochaine fois.
Un ordinateur envoie le trafic à l'ordinateur B. Le commutateur reçoit les images et recherche l'adresse MAC de destination dans sa table d'adresses MAC. Si le commutateur ne pas la destination MAC dans la table d'adresses MAC, le commutateur puis copie le cadre et l'envoie chaque port de commutateur comme une émission. Cela signifie que non seulement le PC B reçoit la trame, PC C reçoit également le cadre de l'hôte A à l'hôte B, mais parce que l'adresse MAC de destination de ce cadre est l'hôte B, C hôte laisse tomber ce cadre.
fonction de commutation normale
PC B reçoit la trame et envoie une réponse au PC A. Le commutateur apprend alors que l'adresse MAC pour PC B est situé sur le port 2 et écrit ces informations dans la table d'adresses MAC. A partir de maintenant, quelle trame envoyée par l'hôte A (ou tout autre hôte) à l'hôte B est transmis au port 2 de l'interrupteur et ne pas diffuser à tous les ports. Le commutateur fonctionne comme il se doit. Tel est l'objectif principal de la fonctionnalité de commutation, d'avoir domaine de collision pour chaque port du commutateur.
Mais c'est là l'attaquant arrive en jeu. La clé pour comprendre comment fonctionnent les attaques de dépassement de la table d'adresses MAC est de savoir que les tables d'adresses MAC sont limités en taille. MAC flooding fait usage de cette limitation à envoyer au commutateur un tas d'adresses MAC source faux jusqu'à ce que le commutateur table d'adresses MAC est entièrement chargé et ne peut pas enregistrer plus adresse MAC - entrées de mappage du port. Le commutateur entre alors en mode fail-ouvert qui signifie qu'il commence à agir en tant que plaque tournante. Dans ce commutateur de situation diffuse tous les paquets reçus à toutes les machines sur le réseau. En conséquence, l'attaquant (dans notre cas « PC C ») peut voir toutes les images envoyées par un hôte victime à un autre hôte sans une entrée de table d'adresses MAC.
Dans ce cas, un attaquant utilisera des outils légitimes pour des actions malveillantes. La figure montre comment un attaquant peut utiliser les caractéristiques normales de fonctionnement de l'interrupteur pour arrêter le passage de l'exploitation.
Entrons dans plus de détails sur le remplissage de la table d'adresses MAC. Pour ce faire, l'attaquant utilise des outils d'attaque de réseau pour MAC. L'intrus réseau utilise l'outil d'attaque pour inonder le commutateur avec un grand nombre d'adresses MAC de source non valable jusqu'à ce que la table d'adresses MAC remplit. Lorsque la table d'adresses MAC est pleine, le commutateur inonde tous les ports avec le trafic entrant, car il ne peut pas trouver le numéro de port pour une adresse MAC particulière dans la table d'adresses MAC. Le commutateur, en substance, agit comme un hub.
outils d'attaque réseau génèrent environ 160 000 entrées MAC sur un commutateur par minute. En fonction du type de commutateur, la taille de la table d'adresses MAC peut être différent, mais est toujours vulnérable à l'attaque contre les inondations. Tôt ou tard, la table sera remplie. Sur la photo, l'outil d'attaque est en cours d'exécution sur l'hôte avec adresse MAC C. Cet outil inonde un commutateur avec des cadres qui contiennent la source aléatoire et MAC bogus destination et les adresses IP. L'attaquant aura besoin juste un peu de temps pour la table d'adresses MAC pour remplir. En ce moment, il ne peut pas accepter de nouvelles entrées. Lorsque la table d'adresses MAC remplit avec des adresses MAC source non valide, le commutateur commence à envoyer toutes les images qu'il reçoit à chaque port.
Tant que l'outil d'attaque réseau est en cours d'exécution, la table d'adresses MAC du commutateur reste complet. Lorsque cela se produit, le commutateur commence à diffuser toutes les trames reçues sur tous les ports de sorte que les trames envoyées par l'hôte A à l'hôte B sont également diffusés sur le port 3 sur le commutateur et l'attaquant peut les renifler.
WoL - Wake On LAN