Switch'in Mac/Cam Tablosunu doldurarak switchin gelen isteklere yanıt verememesini sağlamak hedeflenir. Böylelikle Switch yeni mac adreslerini öğrenmek için eskiden öğrendiği gerçek mac adreslerini belleğinden siler. Tekrar öğrenebilmek için hedef bilgisayara göndermesi gereken paketleri tüm portlardan yayınlar. Attacker aynı ağda bir dinleme programı ile ağı dinlediğinde kullanıcıların trafiğini izleyebilir.
Mac Flooding Attack nasıl yapılır?
Attacker’ın bağlı olduğu portta aşağıda görebileceğiniz gibi herhangi bir aksiyon alınmamıştır.
...
Attacker saldırılarına başlamadan önce switch’in öğrendiği mac adresleri ve mac adres count’ları aşağıdaki gibidir.
...
Attacker kablosunu takıp ağa dahil olduktan sonra switch’e karşılayabileceğinden fazla sahte mac adresleri göndererek switch’in mevcuttaki mac adres tablosunu ve toplamda tutabileceği mac count’u doldurmaya başlarIt is aimed to fill the Mac/Cam Table of the switch so that the switch cannot respond to incoming requests. In order to learn new mac addresses, the switch erases the real mac addresses it has learned in the past from its memory. In order to learn them again, it broadcasts the packets it needs to send to the target computer from all ports. When the attacker listens to the network with a listening program on the same network, he can monitor the traffic of the users.
How to do Mac Flooding Attack?
As you can see below, no action was taken on the port to which the Attacker is connected.
...
The MAC addresses and MAC address counts that the switch learned before the attacker started his attacks are as follows.
...
Once the attacker plugs in the cable and joins the network, it starts sending more fake MAC addresses to the switch than it can handle, filling up the switch's existing MAC address table and the MAC Count it can hold.
# macof -i eth0 -n 10 -d "hedef ip adresitarget IP address"
# macof -i eth0
...
Switch artık yeni isteklere cevap veremez ve switch’e erişim tamamıyla durur The switch can no longer respond to new requests and access to the switch stops completely.
...
How to prevent Mac Flooding Attack nasıl önlenir?
Switch’te portlara aşağıdaki security aksiyonları uygulanarak basit şekilde mac flooding attack önlenir MAC flooding attack is prevented in a simple way by applying the following security actions to the ports on the switch.
Switchport port-security maximum : Her portun altına öğrenebileceği mac adres sayısını sınırlayarak önlem alınabilirPrecautions can be taken by limiting the number of MAC addresses that each port can learn underneath.
Switchport port-security violation protect : When the Mac flooading aldıladığında portu tamamen kapatmaz.Data trafiğini durdurur. Uyarı üretmez bilgilendirme yapmazdetects flooading, it does not close the port completely. It stops data traffic. It does not generate warnings or notifications.
Switchport port-security violation restrict : When Mac flooading aldıladığında portu tamamen kapatmaz.Data trafiğini durdurur. Uyarılar üreterek gets flooading, it does not close the port completely. It stops data traffic. It generates alerts and informs Snmp-Trapler ile bilgilendirir.
Switchport port-security violation shutdown : Atak durumunda İlgili portu tamamen kapatırCompletely closes the relevant port in case of an attack. Err-disabled hatası verirerror.
Switchport port-security mac-address sticky : Bu komut ile porta bağlanan mac adresleri otomatik olarak hafızaya alınır. Belirlenen limite ulaştığından daha fazla hafızaya alma işlemi gerçekleşmez.
Mac flooding ataklarını engellemek için Sechard üzerinden Security bölümüne geliyoruz.
...
Mac Flooding sayfasında portu seçip aşağıdaki gibi ; porttan öğrenilecek maximum mac adresini belirlemek, Sticky modu devreye almak, Port violation uygulamak gibi aksiyonları alıyoruz.
...
Bu aksiyonları aldıktan sonra attacker saldırıyı gerçekleştirirse switch bulunduğu porttan sadece 2 adet mac adres öğrenecek ve sonrasında mac adresler gelmeye devam ederse portu kapatacaktır.
...
With this command, the mac addresses connected to the port are automatically memorized. No further memorization will be performed as the specified limit is reached.
To prevent Mac flooding attacks, we go to the Security section via Sechard.
...
On the Mac Flooding page, we select the port and take actions such as; determining the maximum mac address to be learned from the port, activating Sticky mode, applying Port violation.
...
After taking these actions, if the attacker performs the attack, the switch will learn only 2 mac addresses from the port and then close the port if the mac addresses continue to come.
...
At the same time, since Syslogs are directed to Sechard, SecHard warns via mail as soon as the violation is detected.
...