Назад | Перейти на главную страницу

Какая сетевая атака превращает коммутатор в концентратор?

Я прочитал статья Сегодня рассказывается, как тестер на проникновение смог продемонстрировать создание поддельного банковского счета с балансом в 14 миллионов долларов. Однако выделялся один абзац с описанием атаки:

Затем он «залил» коммутаторы - небольшие ящики, которые направляют трафик данных - чтобы перегружать внутреннюю сеть банка данными. Такой вид атаки превращает коммутатор в «концентратор», который беспорядочно передает данные.

Я не знаком с описанным эффектом. Действительно ли возможно заставить коммутатор транслировать трафик на все свои порты, отправляя огромное количество трафика? Что именно происходит в этой ситуации?

Это называется MAC-флуд. «MAC-адрес» - это аппаратный адрес Ethernet. Коммутатор поддерживает Таблица CAM который отображает MAC-адреса на порты.

Если коммутатору необходимо отправить пакет на MAC-адрес, которого нет в его таблице CAM, он рассылает его по всем портам, как это делает концентратор. Поэтому, если вы заполняете коммутатор большим количеством MAC-адресов, вы принудительно вынуждаете вводить допустимые MAC-адреса из таблицы CAM, и их трафик будет перенаправлен на все порты.

Это называется MAC-лавинной рассылкой и использует тот факт, что таблицы CAM коммутаторов имеют ограниченную длину. Если они переполняются, коммутатор превращается в концентратор и отправляет каждый пакет на каждый порт, что может быстро привести к остановке сети.

Отредактировано для исправления неправильной терминологии.

Как объяснялось выше, таблица MAC-адресов коммутатора «заражена» поддельными MAC-адресами. Это легко сделать с macof программа из dsniff набор инструментов. Предупреждение: пробуйте это только в образовательных целях в своей сети, иначе вы столкнетесь с серьезными проблемами с законом!

http://www.monkey.org/~dugsong/dsniff/