MAC-флуд
В компьютерных сетях или атака управления доступом к среде передачи лавинная рассылка MAC — это метод, используемый для компрометации безопасности сетевых коммутаторов . Атака работает путем вытеснения законного содержимого таблицы MAC-адресов из коммутатора и принудительного одноадресного лавинного поведения, потенциально отправляющего конфиденциальную информацию в те части сети, куда она обычно не предназначена.
Метод атаки
[ редактировать ]Коммутаторы поддерживают таблицу MAC-адресов , которая сопоставляет отдельные MAC-адреса в сети с физическими портами коммутатора. Это позволяет коммутатору направлять данные из физического порта, где находится получатель, в отличие от неизбирательной передачи данных из всех портов, как это делает концентратор Ethernet . Преимущество этого метода заключается в том, что данные передаются исключительно в сегмент сети, содержащий компьютер, для которого данные конкретно предназначены.
При типичной атаке MAC-флудинга злоумышленник передает коммутатору множество кадров Ethernet , каждый из которых содержит разные исходные MAC-адреса. Цель состоит в том, чтобы использовать ограниченную память , выделенную в коммутаторе, для хранения таблицы MAC-адресов. [1]
Эффект этой атаки может различаться в зависимости от реализации, однако желаемый эффект (злоумышленника) состоит в том, чтобы принудительно исключить законные MAC-адреса из таблицы MAC-адресов, что приводит к лавинной лавинной передаче значительного количества входящих кадров на все порты. Именно из-за такого лавинного поведения атака MAC-флудинга получила свое название.
После запуска успешной атаки MAC-флудинга злоумышленник может использовать анализатор пакетов для перехвата конфиденциальных данных, передаваемых между другими компьютерами, которые были бы недоступны, если бы коммутатор работал нормально. Злоумышленник также может провести атаку с подменой ARP , которая позволит ему сохранить доступ к привилегированным данным после того, как коммутаторы оправятся от первоначальной атаки лавинной рассылки MAC.
MAC-флудинг также можно использовать в качестве элементарной атаки с переключением VLAN . [2]
Контрмеры
[ редактировать ]Чтобы предотвратить атаки MAC-флудинга, сетевые операторы обычно полагаются на наличие одной или нескольких функций в своем сетевом оборудовании:
- Благодаря функции, которую производители часто называют «безопасностью портов», многие усовершенствованные коммутаторы можно настроить для ограничения количества MAC-адресов, которые можно узнать на портах, подключенных к конечным станциям. [3] Меньшая таблица безопасных MAC-адресов поддерживается в дополнение к обычной таблице MAC-адресов (и как ее подмножество).
- Многие поставщики позволяют аутентифицировать обнаруженные MAC-адреса на сервере аутентификации, авторизации и учета (AAA) и затем фильтровать их. [4]
- Реализации пакетов IEEE 802.1X часто позволяют явно устанавливать правила фильтрации пакетов сервером AAA на основе динамически полученной информации о клиентах, включая MAC-адрес.
- Функции безопасности для предотвращения подмены ARP или подмены IP-адреса в некоторых случаях также могут выполнять дополнительную фильтрацию MAC-адресов в одноадресных пакетах, однако это побочный эффект, зависящий от реализации.
- Помимо вышеперечисленных иногда применяются дополнительные меры безопасности, чтобы предотвратить обычную одноадресную рассылку неизвестных MAC-адресов. [5] Эта функция обычно опирается на функцию «безопасности портов», чтобы сохранять все безопасные MAC-адреса, по крайней мере, до тех пор, пока они остаются в таблице ARP устройств уровня 3. Следовательно, время устаревания изученных безопасных MAC-адресов настраивается отдельно. Эта функция предотвращает лавинную рассылку пакетов при нормальных рабочих условиях, а также смягчает последствия атаки MAC-флуд.
Ссылки
[ редактировать ]- ^ «Информационный документ по безопасности VLAN: коммутаторы Cisco Catalyst серии 6500» . Сиско Системы . 2002. Архивировано из оригинала 8 июня 2011 года . Проверено 31 января 2015 г.
- ^ Стив А. Руиллер, Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия , Институт SANS , получено 17 ноября 2017 г.
- ^ Руководство пользователя коммутатора Smart Gigabit Ethernet серии Business , Linksys, 2007, стр. 22
- ^ «руководство/Mac Auth» . Freeradius.org . 2015 . Проверено 31 января 2015 г.
- ^ «Блокирование неизвестного одноадресного флуда» . PacketLife.net . 4 июня 2010 г. Проверено 31 января 2015 г.