MAC inundações - MAC flooding
Em redes de computadores , a mídia ataque de controle de acesso ou inundações MAC é uma técnica empregada para comprometer a segurança de switches de rede . O ataque funciona forçando legítimos de mesa MAC conteúdos fora do interruptor e forçando um alagamento unicast comportamento potencialmente enviar informações confidenciais para partes da rede onde não é normalmente a intenção de ir.
método de ataque
Switches mantêm uma tabela de MAC que mapeia individuais endereços MAC na rede para as portas físicas do switch. Isto permite que o interruptor de dados de controlo directo para fora da porta física onde o receptor está localizado, em oposição a indiscriminadamente transmitindo os dados de todas as portas como um concentrador Ethernet faz. A vantagem deste método é que os dados são em ponte exclusivamente para o segmento de rede que contém o computador que os dados são especificamente destinados para.
Em um ataque típico inundação MAC, um interruptor é alimentado muitos quadros Ethernet , cada um contendo diferentes endereços MAC de origem, pelo invasor. A intenção é consumir a limitada memória de lado no interruptor para armazenar a tabela de endereços MAC.
O efeito deste ataque pode variar entre implementações, no entanto, o efeito desejado (pelo intruso) é forçar endereços MAC legítimos para fora da tabela de endereços MAC, fazendo com que quantidades significativas de quadros de entrada a ser inundado para fora em todas as portas. É a partir deste comportamento inundações que o ataque inundações MAC recebe o seu nome.
Depois de lançar um bem sucedido ataque inundações MAC, um usuário mal-intencionado pode usar um analisador de pacotes para capturar dados confidenciais sendo transmitidos entre outros computadores, que não seriam acessíveis foram a chave operando normalmente. O atacante pode também seguir-se com uma falsificação ARP ataque que lhes permita reter o acesso a dados privilegiados após interruptores de recuperar a partir do ataque inicial inundação MAC.
MAC alagamento também pode ser utilizado como um rudimentar movimentada VLAN ataque.
contramedidas
Para evitar ataques de inundação MAC, os operadores de rede geralmente contam com a presença de um ou mais recursos em seus equipamentos de rede:
- Com um recurso muitas vezes chamado de "segurança portuária" por fornecedores, muitos switches avançados pode ser configurado para limitar o número de endereços MAC que podem ser aprendidas em portos ligados a estações finais. Uma tabela de menor seguras endereços MAC é mantida para além de (e como um subconjunto a) a tabela de endereços MAC tradicional.
- Muitos fornecedores permitem descobriu endereços MAC para ser autenticado contra um autenticação, autorização e contabilidade servidor (AAA) e posteriormente filtrada.
- Implementações do IEEE 802.1X suites muitas vezes permitem que as regras de filtragem de pacotes a serem instalados explicitamente por um servidor AAA baseado em aprendidos dinamicamente informações sobre clientes, incluindo o endereço MAC.
- Os recursos de segurança para impedir a falsificação ARP ou falsificação de endereço IP em alguns casos, também pode executar a filtragem adicional endereço MAC em pacotes unicast, porém este é um efeito colateral dependente de implementação.
- Medidas de segurança adicionais são por vezes aplicadas juntamente com o acima para impedir que o normal inundações unicast para endereços MAC desconhecidos. Este recurso geralmente depende o recurso "segurança portuária" para manter todos os seguros endereços MAC por pelo menos enquanto eles permanecem na tabela ARP de camada 3 dispositivos. Assim, o tempo de envelhecimento da aprendi seguras endereços MAC é ajustável separadamente. Esta característica evita que os pacotes de inundar sob circunstâncias de funcionamento normais, assim como mitigar os efeitos de um ataque de inundação MAC.