10.2.2.1.2. MAC Flooding Attack / Flooding Attack

En yaygın Layer 2 MAC saldırısı, saldırganın bir anahtar içindeki CAM arabelleğini taşırmak ve böylece anahtarı tüm arayüzlerde paket yayınladığı bir moda zorlamak amacıyla rastgele MAC adresleriyle çok sayıda paket oluşturduğu bir MAC taşma saldırısıdır.

Bunun nedeni, meşru MAC adreslerinin saldırgan tarafından üretilen çok sayıda rastgele MAC adresi lehine CAM tablosundan çıkarılmasıdır. Buna HUB modu denir ve bir anahtar hub modunda çalışırken, çarpışma alanlarının doğal ayrımı bozulur ve anahtardan geçen tüm çerçeveler bağlı tüm cihazlara iletilir. Bu, cihazdan geçen tüm trafiğin pasif olarak dinlenmesine olanak tanır.

MAC Flooding Attack, CAM tablosunun rastgele MAC adresleri ile dolmasına neden olur. Anahtar daha sonra bir hub gibi çalışmaya zorlanır (yani çerçeveler tüm bağlantı noktalarına iletilir). Buna karşılık dinamik olarak kaydedilen MAC adresleri CAM protokolünün 180 saniyede bir paket gönderimi ile MAC adresinin canlılığını kontrol eder ve paket geri dönüşü sağlanmadığında CAM tablosundan ilgili MAC adresi silinir. Bu sayede MAC sayısı girişinden fazla atak yapılmaması için sticky komutu uygulanır. Aynı zamanda ilgili port üzerinden kullanıcı tarafından maksimum MAC giriş sayısı belirlenir ve MAC girişlerinde maksimum değerin taşmasına neden olunursa porta protect, restrict veya shutdown komutları göndererek güvenli hale getirilir.

switchport port-security maximum 2

switchport port-security violation restrict

switchport port-security mac-address sticky