Atak powodziowy MAC

Warstwa łącza danych działa jako medium do komunikacji między dwoma bezpośrednio połączonymi hostami. Z przodu wysyłającego przekształca strumień danych w sygnały po kroku i przenosi je do sprzętu. Przeciwnie, jako odbiornik, odbiera dane w kształcie sygnałów elektrycznych i przekształca je w możliwą do zidentyfikowania ramkę.

MAC można zaklasyfikować jako podnajmu warstwy łącza danych, która jest odpowiedzialna za adresowanie fizyczne. Adres MAC jest unikalnym adresem dla adaptera sieciowego przydzielonego przez producenci do przesyłania danych do hosta docelowego. Jeśli urządzenie ma kilka adapterów sieciowych i.mi., Ethernet, Wi-Fi, Bluetooth itp., dla każdego standardu znajdą się różne adresy MAC.

W tym artykule dowiesz się, w jaki sposób ten podnajmujący jest manipulowany w celu wykonania ataku powodziowego MAC i jak możemy zapobiec atakowi.

Wstęp

Powódź MAC (Media Access Control) to cyberatak, w którym atakujący zalewa sieć przełącza się fałszywymi adresami MAC, aby zagrozić ich bezpieczeństwu. Przełącznik nie nadaje pakietów sieciowych do całej sieci i utrzymuje integralność sieci poprzez segregowanie danych i wykorzystanie z VLAN (wirtualna sieć lokalna).

Motywem ataku powodziowego MAC jest kradzież danych z systemu ofiary, który jest przenoszony do sieci. Można to osiągnąć, wymuszając właściwą zawartość tabeli Mac Switch, a zachowanie przełącznika przełącznika. Powoduje to przeniesienie wrażliwych danych na inne części sieci i ostatecznie przekształcenie przełącznika w hub i powodowanie zalania znacznych ilości przychodzących ramek na wszystkie porty. Dlatego nazywa się to również atakiem tabeli adresów MAC.

Atakujący może również użyć ataku sfałszowania ARP jako ataku cienia, aby umożliwić mu kontynuowanie dostępu do prywatnych danych, a następnie przełączniki sieciowe odzyskują się z wczesnego ataku powodziowego MAC.

Atak

Aby szybko nasycić tabelę, atakujący zalewa przełącznik ogromną liczbą żądań, każdy z fałszywym adresem MAC. Gdy tabela MAC osiągnie przydzielony limit pamięci, zaczyna usuwać stare adresy za pomocą nowych.

Po usunięciu wszystkich uzasadnionych adresów MAC, przełącznik zaczyna nadawać wszystkie pakiety do każdego portu przełącznika i przyjmuje rolę Hub Network. Teraz, gdy dwóch prawidłowych użytkowników próbuje się komunikować, ich dane są przekazywane do wszystkich dostępnych portów, co skutkuje atakiem powodzi w tabeli MAC.

Wszyscy legalni użytkownicy będą mogli teraz dokonać wpisu do momentu zakończenia. W takich sytuacjach złośliwe jednostki czynią je częścią sieci i wysyłają złośliwe pakiety danych do komputera użytkownika.

W rezultacie atakujący będzie w stanie uchwycić cały ruch i wychodzący ruch przechodzący przez system użytkownika i może wąchać poufne dane, które zawiera. Poniższa migawka narzędzia wąchania, Wireshark, wyświetla sposób zalania tabeli adresów MAC fałszywymi adresami MAC.

Zapobieganie atakowi

Zawsze musimy podjąć środki ostrożności, aby zabezpieczyć nasze systemy. Na szczęście mamy narzędzia i funkcje, aby powstrzymać intruzów przed wejściem do systemu i reagowania na ataki, które narażają nasz system. Zatrzymanie ataku powodziowego Mac można wykonać za pomocą bezpieczeństwa portu.

Możemy to osiągnąć, włączając tę ​​funkcję w zabezpieczeniach portu za pomocą polecenia Switchport Port-Security.

Określ maksymalną liczbę adresów dozwolonych na interfejsie za pomocą polecenia „Switchport Port-Security”, jak poniżej:

Przełącz maksymalnie 5 bezpieczeństwa portu

Definiując adresy MAC wszystkich znanych urządzeń:

Przełącz maksymalnie 2

Wskazując, co należy zrobić, jeśli którykolwiek z powyższych terminów zostanie naruszony. Gdy nastąpi naruszenie bezpieczeństwa portu przełącznika, przełączniki Cisco mogą być skonfigurowane tak, aby reagować na jeden z trzech sposobów; Chroń, ogranicz, wyłączenie.

Tryb ochrony to tryb naruszenia bezpieczeństwa z najmniejszym bezpieczeństwem. Pakiety, które mają niezidentyfikowane adresy źródłowe, są upuszczane, jeśli liczba zabezpieczonych adresów MAC przekroczy limit portu. Można go uniknąć, jeśli liczba określonych maksymalnych adresów, które można zapisać w porcie, jest zwiększona lub obniżona liczba zabezpieczonych adresów MAC. W takim przypadku nie można znaleźć dowodów na naruszenie danych.

Ale w trybie ograniczonym zgłaszane jest naruszenie danych, gdy naruszenie bezpieczeństwa portu występuje w domyślnym trybie naruszenia bezpieczeństwa, interfejs jest wykluczony przez błąd, a dioda LED portu jest zabijana. Licznik naruszenia jest zwiększany.

Polecenie trybu wyłączania można użyć do uzyskania bezpiecznego portu ze stanu zabezpieczonego błędem. Można go włączyć przez polecenie wspomniane poniżej:

Przełącz zamknięcie naruszenia bezpieczeństwa portu

Oprócz żadnych poleceń trybu konfiguracji interfejsu wyłączania można użyć do tego samego celu. Tryby te można włączyć za pomocą poleceń podanych poniżej:

Przełącz ochronę naruszenia bezpieczeństwa portu
Przełącz ograniczenie naruszenia bezpieczeństwa portu

Tym atakom można również zapobiec poprzez uwierzytelnianie adresów MAC na serwerze AAA zwanym serwerem uwierzytelniania, autoryzacji i księgowości. I wyłączając porty, które nie są używane dość często.

Wniosek

Efekty ataku powodziowego Mac mogą się różnić, biorąc pod uwagę, jak został wdrażany. Może to spowodować wyciek osobistych i poufnych informacji użytkownika, które można wykorzystać do złośliwych celów, więc jego zapobieganie jest konieczne. Zaatakiem powodziowym MAC można zapobiec wieloma metodami, w tym uwierzytelnianiem odkrytych adresów MAC przeciwko serwerze „AAA” itp.