Я прочитал статья Сегодня рассказывается, как тестер на проникновение смог продемонстрировать создание поддельного банковского счета с балансом в 14 миллионов долларов. Однако выделялся один абзац с описанием атаки:
Затем он «залил» коммутаторы - небольшие ящики, которые направляют трафик данных - чтобы перегружать внутреннюю сеть банка данными. Такой вид атаки превращает коммутатор в «концентратор», который беспорядочно передает данные.
Я не знаком с описанным эффектом. Действительно ли возможно заставить коммутатор транслировать трафик на все свои порты, отправляя огромное количество трафика? Что именно происходит в этой ситуации?
Это называется MAC-флуд. «MAC-адрес» - это аппаратный адрес Ethernet. Коммутатор поддерживает Таблица CAM который отображает MAC-адреса на порты.
Если коммутатору необходимо отправить пакет на MAC-адрес, которого нет в его таблице CAM, он рассылает его по всем портам, как это делает концентратор. Поэтому, если вы заполняете коммутатор большим количеством MAC-адресов, вы принудительно вынуждаете вводить допустимые MAC-адреса из таблицы CAM, и их трафик будет перенаправлен на все порты.
Это называется MAC-лавинной рассылкой и использует тот факт, что таблицы CAM коммутаторов имеют ограниченную длину. Если они переполняются, коммутатор превращается в концентратор и отправляет каждый пакет на каждый порт, что может быстро привести к остановке сети.
Отредактировано для исправления неправильной терминологии.
Как объяснялось выше, таблица MAC-адресов коммутатора «заражена» поддельными MAC-адресами. Это легко сделать с macof
программа из dsniff
набор инструментов. Предупреждение: пробуйте это только в образовательных целях в своей сети, иначе вы столкнетесь с серьезными проблемами с законом!