MAC_flooding

V počítačové síti , MAC záplavy je technika zaměstnaná ohrozit bezpečnost síťových přepínačů .

Přepínače udržovat CAM tabulky , který mapuje jednotlivé MAC adresy na síti do fyzických portů na přepínači. To umožňuje přejít na přímé data z fyzického portu, kde se nachází příjemce, na rozdíl od nevybíravě vysílání dat ze všech přístavů jako hub dělá. Výhodou této metody je, že data jsou překlenul výlučně k segmentu sítě obsahující počítač, že data je specificky určen.

V typickém útoku záplavy MAC, vypínač je napájen mnoha Ethernetové rámce , z nichž každý obsahuje jiné zdroje MAC adresy, kterou útočník. Záměrem je konzumovat omezená paměť zrušil v přepínač pro uložení MAC adresy tabulky.

Účinek tohoto útoku může být v jednotlivých implementacích, ale požadovaný efekt (podle útočník) je jeden z oprávněných MAC adresy mají být vytlačen z tabulky MAC adresy způsobuje značné množství příchozích rámců být zaplaven na všech portech. To je od tohoto chování, které záplavy záplavy MAC útoku dostane jeho jméno, a to je to chování, které umožňuje záplavy MAC útok být používán jako více než jednoduchý typu denial-of-Service útok proti přepínání infrastruktury.

Po zahájení úspěšné MAC záplavy útoku, uživatel se zlými úmysly mohl pak používat paket analyzátor zachytit citlivá data jsou přenášena mezi jinými počítači, které by neměly být přístupné byly přepínač funguje normálně. Útočník může také navázat s ARP spoofing útoku, který jim umožní zachovat přístup k privilegovaným dat po přepne zpět z počátečního útoku záplavy MAC.

protiopatření

Chcete-li zabránit útokům záplava Maca, provozovatelé sítí se obvykle spolehnout na přítomnost jednoho nebo více funkcí v jejich síťové vybavení:

  • S funkcí často volal "bezpečnost přístavu" tím, že prodejci, pokročilé přepínače může být mnoho být nakonfigurován tak, aby omezení počtu MAC adres, které se lze naučit na Přístavy spojené s koncovými stanicemi. menší tabulka "bezpečných" adres MAC je zachována Kromě (a jako podmnožina k) tradiční "tabulky MAC adresy."
  • Implementace IEEE 802.1X apartmánů často umožňují filtrování paketů pravidla pro instalaci explicitně server AAA založené na dynamicky se dozvěděl informace o klientech, včetně MAC adresy.
  • Bezpečnostní prvky, aby se zabránilo ARP spoofing nebo IP spoofingu adres v některých případech může také provádět dodatečné filtrování MAC adres na unicast pakety, to je však realizace-závislý strana-účinek.
  • Další bezpečnostní opatření se někdy používají spolu s výše, aby se zabránilo normální unicast povodní na neznámé MAC adres. Tato vlastnost se obvykle spoléhá na "zabezpečení přístavů" funkce zachovány všechny "bezpečné" MAC adresy po dobu alespoň tak dlouho, dokud zůstanou v tabulce ARP 3 zařízení vrstvy. Proto, stárnutí době se naučil "bezpečných" adres MAC je samostatně nastavitelné. Tato funkce zabraňuje pakety od záplavy za normálních provozních podmínek, jakož i zmírnění následků povodní útoku MAC.