Útok MAC FLOODING
Podstata útoku:
Podstatou útoku MAC flooding je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.
Popis útoku:
Útok MAC flooding spočíva v tom, že útočník zaplní CAM tabuľku prepínača a preto sa začne správať ako rozbočovač. To znamená že bude vysielať dáta na všetky porty okrem toho, z ktorého dáta prijal. Najskôr musí útočník zaplniť CAM tabuľku prepínača a to tým spôsobom že pošle veľké množstvo rámcov na prepínač. Zvyčajná kapacita CAM tabuľky prepínača je niekoľko tisíc položiek. Po zaplnení CAM tabuľky sa najčastejšie prepínač začne správať ako rozbočovač t.j. hub. Môže sa stať, že správny záznam sa už nachádza v CAM tabuľke pre istú MAC adresu, v tom prípade správy určené pre túto MAC adresu sa vyšlú iba na ten jeden správny port. No položky z CAM tabuľky sa po istom čase zmažú. Prázdne miesto v CAM tabuľke musí zaplniť útočník.
CAM Tabuľka prepínača:
Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje CAM tabuľka prepínača.
CAM tabuľka obsahuje informácie o tom, na ktorých portoch sa nachádzajú ktoré MAC adresy. Základné údaje, ktoré obsahujú záznami v tejto tabuľke, sú MAC adresa a port, na ktorom bola táto MAC adresa zistená. Každý záznam obsahuje takisto čas do vypršania jeho platnosti, keďže tieto záznamy sa uchovávajú v pamäti len po určitú dobu. Ak by sa záznamy uchovávali natrvalo, mohlo by ľahko dôjsť k zaplneniu tabuľky, a tabuľka by takisto obsahovala mnoho starých a nepoužívaných záznamov. Záznamy v CAM tabuľke sú pridávané, príp. aktualizované len pomocou zdrojových MAC adries, cieľové MAC adresy sa pri tomto procese vôbec nepoužívajú. Po prijatí paketu sa prepínač najprv pozrie, či už má v CAM tabuľke záznam pre príslušnú MAC adresu a port, na ktorom bol tento paket prijatý. Ak áno, len obnoví časový údaj pre tento záznam, v opačnom prípade pridá do CAM tabuľky nový záznam s touto MAC adresou a portom. Následne sa vyhľadá záznam pre cieľovú stanicu, aby prepínač zistil, na ktorý port má paket preposlať. V prípade, že CAM tabuľka obsahuje informáciu, kde sa nachádza cieľová MAC adresa tohto paketu, odošle sa paket len na tento port. Ak pamäť neobsahuje príslušný záznam, paket sa odošle na všetky porty okrem toho, kde bol prijatý. Tento paket je následne spracovaný len počítačom s cieľovou MAC adresou. Záznam v CAM tabuľke pre jeho MAC adresu sa vytvorí, ako náhle tento počítač odošle do siete nejaké dáta. Pre rovnaký port môže byť v tabuľke uložených viac MAC adries, a to z toho dôvodu, že k prepínaču môže byť pripojený ďalší prepínač, na ktorom je pripojených niekoľko uzlov.
Princíp útoku:
Útok MAC flooding pozostáva z nasledujúcich krokov:
1. Bežná komunikácia
Obeť komunikuje zo smerovačom priamo, bez zásahu útočníka. Obrázok znázorňuje smer komunikácie pred začatím útoku.
2. Zahltenie CAM tabuľky
Útočník zahlcuje CAM tabuľku tak že generuje veľké množstvo ARP paketov s rôznymi zdrojovými MAC adresami. U počítačoch, ktoré už majú záznam v CAM tabuľke, treba počkať dokým vyprší platnosť záznamov v CAM tabuľke. Po vypršaní platnosti útočník musí okamžite toto miesto obsadiť. Útočník musí neustále pravidelne zahlcovať prepínač ARP paketmi, pretože CAM tabuľka by sa postupne vyprázdňovala. Obrázok znázorňuje veľké množstov ARP paketov, ktoré generuje útočník na prepínač.
3. Presmerovanie prevádzky
Po vykonaní predchádzajúceho kroku sa prepínač začne správať ako rozbočovač. Správy určené pre zariadenia, ktoré nemajú v CAM tabuľke záznam sa začnú posielať na všetky porty, okrem portu z ktorého boli správy prijaté. Teda útočník môže odpočúvať sieťovú prevádzku. Obrázok znázorňuje paket odoslaný od obete na smerovač a zachytenie paketu útočníkom.
Animácia útoku:
