Mac Flooding, yerel ağlarda Switchlerin Cam Tablosuna doldurmaya yönelik yapılan DoS saldırı türüdür. Saldırgan tarafından Switch'e çok kısa süre içerisinde binlerce Mac adresler gönderilir, Switch bu Mac adresleri kaydeder. Cam Tablosunu doldurur ve gelen diğer isteklere 45 cevap veremez duruma düşer, gelen istekleri Hub mantığıyla bağlı olduğu tüm ağa gönderir. Bu durumda ağda ciddi bir yavaşlama olur ve saldırgan tüm ağı dinleyebilecek duruma gelir.En yaygın Layer 2 MAC saldırısı, saldırganın bir anahtar içindeki CAM arabelleğini taşırmak ve böylece anahtarı tüm arayüzlerde paket yayınladığı bir moda zorlamak amacıyla rastgele MAC adresleriyle çok sayıda paket oluşturduğu bir MAC taşma saldırısıdır.
Bunun nedeni, meşru MAC adreslerinin saldırgan tarafından üretilen çok sayıda rastgele MAC adresi lehine CAM tablosundan çıkarılmasıdır. Buna HUB modu denir ve bir anahtar hub modunda çalışırken, çarpışma alanlarının doğal ayrımı bozulur ve anahtardan geçen tüm çerçeveler bağlı tüm cihazlara iletilir. Bu, cihazdan geçen tüm trafiğin pasif olarak dinlenmesine olanak tanır.
MAC Flooding Attack, CAM tablosunun rastgele MAC adresleri ile dolmasına neden olur. Anahtar daha sonra bir hub gibi çalışmaya zorlanır (yani çerçeveler tüm bağlantı noktalarına iletilir). Buna karşılık dinamik olarak kaydedilen MAC adresleri CAM protokolünün 180 saniyede bir paket gönderimi ile MAC adresinin canlılığını kontrol eder ve paket geri dönüşü sağlanmadığında CAM tablosundan ilgili MAC adresi silinir. Bu sayede MAC sayısı girişinden fazla atak yapılmaması için sticky komutu uygulanır. Aynı zamanda ilgili port üzerinden kullanıcı tarafından maksimum MAC giriş sayısı belirlenir ve MAC girişlerinde maksimum değerin taşmasına neden olunursa porta protect, restrict veya shutdown komutları göndererek güvenli hale getirilir.
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky