MAC-флуд

В компьютерных сетях или атака управления доступом к среде передачи лавинная рассылка MAC — это метод, используемый для компрометации безопасности сетевых коммутаторов . Атака работает путем вытеснения законного содержимого таблицы MAC-адресов из коммутатора и принудительного одноадресного лавинного поведения, потенциально отправляющего конфиденциальную информацию в те части сети, куда она обычно не предназначена.

Метод атаки

Коммутаторы поддерживают таблицу MAC-адресов , которая сопоставляет отдельные MAC-адреса в сети с физическими портами коммутатора. Это позволяет коммутатору направлять данные из физического порта, где находится получатель, в отличие от неизбирательной передачи данных из всех портов, как это делает концентратор Ethernet . Преимущество этого метода заключается в том, что данные передаются исключительно в сегмент сети, содержащий компьютер, для которого данные конкретно предназначены.

При типичной атаке MAC-флудинга злоумышленник передает коммутатору множество кадров Ethernet , каждый из которых содержит разные исходные MAC-адреса. Цель состоит в том, чтобы использовать ограниченную память , выделенную в коммутаторе, для хранения таблицы MAC-адресов. ^[1]

Эффект этой атаки может различаться в зависимости от реализации, однако желаемый эффект (злоумышленника) состоит в том, чтобы принудительно исключить законные MAC-адреса из таблицы MAC-адресов, что приводит к лавинной лавинной передаче значительного количества входящих кадров на все порты. Именно из-за такого лавинного поведения атака MAC-флудинга получила свое название.

После запуска успешной атаки MAC-флудинга злоумышленник может использовать анализатор пакетов для перехвата конфиденциальных данных, передаваемых между другими компьютерами, которые были бы недоступны, если бы коммутатор работал нормально. Злоумышленник также может провести атаку с подменой ARP , которая позволит ему сохранить доступ к привилегированным данным после того, как коммутаторы оправятся от первоначальной атаки лавинной рассылки MAC.

MAC-флудинг также можно использовать в качестве элементарной атаки с переключением VLAN . ^[2]

Контрмеры

Чтобы предотвратить атаки MAC-флудинга, сетевые операторы обычно полагаются на наличие одной или нескольких функций в своем сетевом оборудовании:

Благодаря функции, которую производители часто называют «безопасностью портов», многие усовершенствованные коммутаторы можно настроить для ограничения количества MAC-адресов, которые можно узнать на портах, подключенных к конечным станциям. ^[3] Меньшая таблица безопасных MAC-адресов поддерживается в дополнение к обычной таблице MAC-адресов (и как ее подмножество).
Многие поставщики позволяют аутентифицировать обнаруженные MAC-адреса на сервере аутентификации, авторизации и учета (AAA) и затем фильтровать их. ^[4]
Реализации пакетов IEEE 802.1X часто позволяют явно устанавливать правила фильтрации пакетов сервером AAA на основе динамически полученной информации о клиентах, включая MAC-адрес.
Функции безопасности для предотвращения подмены ARP или подмены IP-адреса в некоторых случаях также могут выполнять дополнительную фильтрацию MAC-адресов в одноадресных пакетах, однако это побочный эффект, зависящий от реализации.
Помимо вышеперечисленных иногда применяются дополнительные меры безопасности, чтобы предотвратить обычную одноадресную рассылку неизвестных MAC-адресов. ^[5] Эта функция обычно опирается на функцию «безопасности портов», чтобы сохранять все безопасные MAC-адреса, по крайней мере, до тех пор, пока они остаются в таблице ARP устройств уровня 3. Следовательно, время устаревания изученных безопасных MAC-адресов настраивается отдельно. Эта функция предотвращает лавинную рассылку пакетов при нормальных рабочих условиях, а также смягчает последствия атаки MAC-флуд.

Ссылки

^ «Информационный документ по безопасности VLAN: коммутаторы Cisco Catalyst серии 6500» . Сиско Системы . 2002. Архивировано из оригинала 8 июня 2011 года . Проверено 31 января 2015 г.
^ Стив А. Руиллер, Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия , Институт SANS , получено 17 ноября 2017 г.
^ Руководство пользователя коммутатора Smart Gigabit Ethernet серии Business , Linksys, 2007, стр. 22
^ «руководство/Mac Auth» . Freeradius.org . 2015 . Проверено 31 января 2015 г.
^ «Блокирование неизвестного одноадресного флуда» . PacketLife.net . 4 июня 2010 г. Проверено 31 января 2015 г.

[1] «Информационный документ по безопасности VLAN: коммутаторы Cisco Catalyst серии 6500» . Сиско Системы . 2002. Архивировано из оригинала 8 июня 2011 года . Проверено 31 января 2015 г.

[2] Стив А. Руиллер, Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия , Институт SANS , получено 17 ноября 2017 г.

[3] Руководство пользователя коммутатора Smart Gigabit Ethernet серии Business , Linksys, 2007, стр. 22

[4] «руководство/Mac Auth» . Freeradius.org . 2015 . Проверено 31 января 2015 г.

[5] «Блокирование неизвестного одноадресного флуда» . PacketLife.net . 4 июня 2010 г. Проверено 31 января 2015 г.

[1]

[2]

[3]

[4]

[5]