top of page

Zabezpečenie pred útokom MAC FLOODING

 

 

Podstata útoku:

Podstatou útoku MAC flooding je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.

 

Popis útoku:

Útok MAC flooding spočíva v tom, že útočník zaplní CAM tabuľku prepínača a preto sa začne správať ako rozbočovač. To znamená že bude vysielať dáta na všetky porty okrem toho, z ktorého dáta prijal. Najskôr musí útočník zaplniť CAM tabuľku prepínača a to tým spôsobom že pošle veľké množstvo rámcov na prepínač. Zvyčajná kapacita CAM tabuľky prepínača je niekoľko tisíc položiek. Po zaplnení CAM tabuľky sa najčastejšie prepínač začne správať ako rozbočovač t.j. hub. Môže sa stať, že správny záznam sa už nachádza v CAM tabuľke pre istú MAC adresu, v tom prípade správy určené pre túto MAC adresu sa vyšlú iba na ten jeden správny port. No položky z CAM tabuľky sa po istom čase zmažú. Prázdne miesto v CAM tabuľke musí zaplniť útočník.

 

 

Zabezpečenie pred útokom:

Na počítači:

  • ​keďže sa jedná o útok, ktorý využíva slabinu prepínača, tak obrana proti tomuto útoku je možná len na prepínači

 

​Na prepínači:

  • obranu proti tomutu útoku ponúkajú iba drahšie manažovateľné prepínače

  • prepínače, ktoré ponúkajú bezpečnostné funkcie ako DHCP Snooping a Port Security predstavujú formu zabezpečenia proti tomuto útoku.

  • DHCP Snooping tabuľka, ktorá sa nachádza v pamäti prepínača zabezpečí zahodenie rámcov, ktorých MAC a IP adresa nie je totožná s jej záznamami. Týmto zabezpečíme blokovanie rámcov s podvrhnutými MAC adresami.

 

Detekcia útoku:

​Na prepínači:

  • Detekciu na prepínači umožňujú väčšinou iba manažovateľné typy, ktoré sú drahšie než klasické prepínače

  • u manažovateľných typoch je možné tento útok rozpoznať vypísaním CAM tabuľky.

​Na počítači:

  • tento útok je možné rozpoznať pasívnym sledovaním sieťovej premávky

  • zvýšení príjem rámcov, ktoré sú určené iným MAC adresám ako je adresa počítača, ide s veľkou pravdepodobnosťou o útok MAC Flooding. No tento spôsob je účinný až po zaplnení CAM tabuľky prepínača.

© 2015 Vytvoril Ján Ivák

bottom of page