Switch'in Mac/Cam Tablosunu doldurarak switchin gelen isteklere yanıt verememesini sağlamak hedeflenir. Böylelikle Switch yeni mac adreslerini öğrenmek için eskiden öğrendiği gerçek mac adreslerini belleğinden siler. Tekrar öğrenebilmek için hedef bilgisayara göndermesi gereken paketleri tüm portlardan yayınlar. Attacker aynı ağda bir dinleme programı ile ağı dinlediğinde kullanıcıların trafiğini izleyebilir.
Mac Flooding Attack nasıl yapılır?
Attacker’ın bağlı olduğu portta aşağıda görebileceğiniz gibi herhangi bir aksiyon alınmamıştır.
Attacker saldırılarına başlamadan önce switch’in öğrendiği mac adresleri ve mac adres count’ları aşağıdaki gibidir.
Attacker kablosunu takıp ağa dahil olduktan sonra switch’e karşılayabileceğinden fazla sahte mac adresleri göndererek switch’in mevcuttaki mac adres tablosunu ve toplamda tutabileceği mac count’u doldurmaya başlar.
# macof -i eth0 -n 10 -d "hedef ip adresi"
# macof -i eth0
Switch artık yeni isteklere cevap veremez ve switch’e erişim tamamıyla durur.
Mac Flooding Attack nasıl önlenir?
Switch’te portlara aşağıdaki security aksiyonları uygulanarak basit şekilde mac flooding attack önlenir.
Switchport port-security maximum : Her portun altına öğrenebileceği mac adres sayısını sınırlayarak önlem alınabilir.
Switchport port-security violation protect : Mac flooading aldıladığında portu tamamen kapatmaz.Data trafiğini durdurur. Uyarı üretmez bilgilendirme yapmaz.
Switchport port-security violation restrict : Mac flooading aldıladığında portu tamamen kapatmaz.Data trafiğini durdurur. Uyarılar üreterek Snmp-Trapler ile bilgilendirir.
Switchport port-security violation shutdown : Atak durumunda İlgili portu tamamen kapatır. Err-disabled hatası verir.
Switchport port-security mac-address sticky : Bu komut ile porta bağlanan mac adresleri otomatik olarak hafızaya alınır. Belirlenen limite ulaştığından daha fazla hafızaya alma işlemi gerçekleşmez.
Mac flooding ataklarını engellemek için Sechard üzerinden Security bölümüne geliyoruz.
Mac Flooding sayfasında portu seçip aşağıdaki gibi ; porttan öğrenilecek maximum mac adresini belirlemek, Sticky modu devreye almak, Port violation uygulamak gibi aksiyonları alıyoruz.
Bu aksiyonları aldıktan sonra attacker saldırıyı gerçekleştirirse switch bulunduğu porttan sadece 2 adet mac adres öğrenecek ve sonrasında mac adresler gelmeye devam ederse portu kapatacaktır.
Aynı zamanda Sysloglar Sechard’a yönlü olduğu için violation algılanır algılanmaz SecHard mail yolu ile uyarır.
0 Comments