Un livello di collegamento dati funge da mezzo per la comunicazione tra due host direttamente connessi. Nel fronte di invio, trasforma il flusso di dati in segnali bit per bit e lo trasferisce all'hardware. Al contrario, come ricevitore, riceve dati a forma di segnali elettrici e li trasforma in un frame identificabile.
Il Mac può essere classificato come sublayer del livello di collegamento dati responsabile per l'indirizzo fisico. L'indirizzo MAC è un indirizzo univoco per un adattatore di rete allocato dai produttori per la trasmissione di dati all'host di destinazione. Se un dispositivo ha diversi adattatori di rete i.e., Ethernet, Wi-Fi, Bluetooth, ecc., Ci sarebbero diversi indirizzi MAC per ogni standard.
In questo articolo, imparerai come questo sublayer viene manipolato per eseguire l'attacco di inondazione MAC e come possiamo impedire che l'attacco accada.
introduzione
Mac (Media Access Control) Inondazioni è un attacco informatico in cui una rete di attaccanti inondazioni cambia con indirizzi MAC falsi per compromettere la loro sicurezza. Uno switch non trasmette pacchetti di rete all'intera rete e mantiene l'integrità della rete separando i dati e utilizzando VLANS (Virtual Local Area Network).
Il motivo dietro l'attacco di inondazione di Mac è quello di rubare i dati dal sistema di una vittima che viene trasferito in una rete. Può essere ottenuto forzando il legittimo contenuto della tabella Mac di Switch e il comportamento unicast dello switch. Ciò si traduce nel trasferimento di dati sensibili ad altre parti della rete e alla fine trasformando il cambio in un hub e causando inondazioni significative di frame in arrivo su tutte le porte. Pertanto, è anche chiamato attacco traboccante della tabella degli indirizzi MAC.
L'attaccante può anche usare un attacco di spoofing ARP come un attacco ombra per permettersi di continuare ad avere accesso a dati privati dopo che gli switch di rete si recuperano dal primo attacco di inondazione MAC.
attacco
Per saturare rapidamente il tavolo, l'attaccante inonda l'interruttore con un numero enorme di richieste, ognuna con un indirizzo MAC falso. Quando la tabella Mac raggiunge il limite di archiviazione allocato, inizia a rimuovere vecchi indirizzi con quelli nuovi.
Dopo aver rimosso tutti gli indirizzi MAC legittimi, lo switch inizia a trasmettere tutti i pacchetti su ogni porta switch e assume il ruolo del hub di rete. Ora, quando due utenti validi tentano di comunicare, i loro dati vengono inoltrati a tutte le porte disponibili, risultando in un attacco di inondazione della tabella MAC.
Tutti gli utenti legittimi saranno ora in grado di effettuare una voce fino al completamento. In queste situazioni, le entità dannose li rendono parte di una rete e inviano pacchetti di dati dannosi al computer dell'utente.
Di conseguenza, l'attaccante sarà in grado di catturare tutto il traffico in ingresso e in uscita che attraversa il sistema dell'utente e può annusare i dati riservati che contiene. La seguente istantanea dello strumento di sniffing, Wireshark, mostra come la tabella degli indirizzi MAC è inondata di indirizzi falsi Mac.
Prevenzione degli attacchi
Dobbiamo sempre prendere precauzioni per proteggere i nostri sistemi. Fortunatamente, abbiamo strumenti e funzioni per impedire agli intrusi di entrare nel sistema e rispondere agli attacchi che mettono a rischio il nostro sistema. L'arresto dell'attacco di inondazione MAC può essere fatto con la sicurezza del porto.
Possiamo ottenere questo consentendo questa funzione nella sicurezza delle porte utilizzando il comando switchport port-security.
Specificare il numero massimo di indirizzi consentiti sull'interfaccia utilizzando il comando di valore "massimo di sicurezza porta switchport" come di seguito:
Switch Port-Security Massimo 5
Definendo gli indirizzi MAC di tutti i dispositivi noti:
Switch Port Security Massimo 2
Indicando ciò che dovrebbe essere fatto se uno dei termini di cui sopra viene violato. Quando si verifica una violazione della sicurezza della porta dello switch, gli switch Cisco possono essere configurati per rispondere in tre modi; Proteggere, limitare, arresto.
La modalità Protect è la modalità di violazione della sicurezza con il minimo sicurezza. I pacchetti che hanno indirizzi di origine non identificati vengono eliminati, se il numero di indirizzi MAC protetti supera il limite della porta. Può essere evitato se viene aumentato il numero di indirizzi massimi specificati che possono essere salvati nella porta o viene ridotto il numero di indirizzi MAC protetti. In questo caso, non è possibile trovare prove di una violazione dei dati.
Ma in modalità limitata, viene segnalata una violazione dei dati, quando si verifica una violazione della sicurezza della porta nella modalità di violazione della sicurezza predefinita, l'interfaccia è disabilitata per errori e il LED porta viene ucciso. Il contatore di violazione è incrementato.
Il comando in modalità di spegnimento può essere utilizzato per ottenere una porta sicura dallo stato disabilitato per errori. Può essere abilitato dal comando menzionato di seguito:
Switch Switch Port Security Violation Shutdown
Nonché i comandi della modalità di configurazione dell'interfaccia di arresto possono essere utilizzati per lo stesso scopo. Queste modalità possono essere abilitate mediante l'uso dei comandi indicati di seguito:
proteggere la violazione della sicurezza della portata
Cambiare la violazione della sicurezza della porta limitare
Questi attacchi possono anche essere prevenuti autenticando gli indirizzi MAC rispetto al server AAA noto come autenticazione, autorizzazione e server contabile. E disabilitando le porte che non vengono utilizzate abbastanza spesso.
Conclusione
Gli effetti di un attacco di inondazione MAC possono differire considerando come è implementato. Può comportare la perdita di informazioni personali e sensibili dell'utente che potrebbero essere utilizzate per scopi dannosi, quindi la sua prevenzione è necessaria. Un attacco di inondazione MAC può essere prevenuto con molti metodi tra cui l'autenticazione degli indirizzi MAC scoperti contro il server "AAA", ecc.