Eine Datenverbindungsschicht fungiert als Medium für die Kommunikation zwischen zwei direkt verbundenen Hosts. An der Sendungsfront transformiert es den Datenstrom Stück für Stück in Signale und überträgt ihn an die Hardware. Im Gegenteil, als Empfänger empfängt es Daten in Form von elektrischen Signalen und verwandelt sie in einen identifizierbaren Rahmen.
MAC kann als Untermesser der Datenverbindungsschicht eingestuft werden, die für die physische Adressierung verantwortlich ist. Die MAC -Adresse ist eine eindeutige Adresse für einen Netzwerkadapter, der von den Herstellern zur Übertragung von Daten an den Zielhost zugewiesen wurde. Wenn ein Gerät über mehrere Netzwerkadapter verfügt i.e., Ethernet, Wi-Fi, Bluetooth usw., Für jeden Standard würden verschiedene MAC -Adressen vorhanden sein.
In diesem Artikel erfahren Sie, wie dieser Unterschicht manipuliert wird, um den MAC -Überschwemmungsangriff auszuführen, und wie wir verhindern können, dass der Angriff stattfindet.
Einführung
MAC (Media Access Control) Überschwemmungen ist ein Cyber-Angriff, bei dem ein Angreifer das Netzwerk mit gefälschten MAC-Adressen überflutet, um seine Sicherheit zu beeinträchtigen. Ein Switch überträgt keine Netzwerkpakete in das gesamte Netzwerk und verwaltet die Netzwerkintegrität, indem Daten getrennt und verwendet werden VLANs (Virtual Local Area Network).
Das Motiv hinter dem MAC -Überschwemmungsangriff besteht darin, Daten aus dem System eines Opfers zu stehlen, das in ein Netzwerk übertragen wird. Es kann erreicht werden, indem der rechtmäßige Mac -Tischinhalt des Switchs und das Unicast -Verhalten des Schalters erzwungen werden. Dies führen dazu. Daher wird es auch als überfüllter Angriff als MAC -Adresstabelle bezeichnet.
Der Angreifer kann auch einen ARP -Spoofing -Angriff als Schattenangriff verwenden, damit er sich danach weiterhin zu Zugang zu privaten Daten hat.
Attacke
Um die Tabelle schnell zu sättigen, überflutet der Angreifer den Schalter mit einer großen Anzahl von Anfragen, jeweils mit einer gefälschten MAC -Adresse. Wenn die Mac -Tabelle die zugewiesene Speichergrenze erreicht, wird alte Adressen mit den neuen entfernen.
Nachdem der Switch alle legitimen MAC -Adressen entfernt hat, überträgt er alle Pakete an jeden Switch -Port und übernimmt die Rolle des Netzwerk -Hubs. Wenn zwei gültige Benutzer versuchen, zu kommunizieren, werden ihre Daten an alle verfügbaren Ports weitergeleitet, was zu einem MAC -Tischflutangriff führt.
Alle legitimen Benutzer können nun einen Eintrag abschließen, bis dies abgeschlossen ist. In diesen Situationen machen böswillige Entitäten sie zu einem Teil eines Netzwerks und senden böswillige Datenpakete an den Computer des Benutzers.
Infolgedessen kann der Angreifer den gesamten Ingoing- und ausgehenden Verkehr erfassen, der durch das System des Benutzers geht, und kann die vertraulichen Daten schnüffeln, die er enthält. Der folgende Schnappschuss des Sniffing -Tools Wireshark zeigt an, wie die MAC -Adresstabelle mit falschen MAC -Adressen überflutet wird.
Angriffsprävention
Wir müssen immer Vorsichtsmaßnahmen treffen, um unsere Systeme zu sichern. Glücklicherweise haben wir Tools und Funktionen, um Eindringlinge daran zu hindern, das System zu betreten und auf Angriffe zu reagieren, die unser System gefährden. Das Stoppen des MAC -Überschwemmungsangriffs kann mit Port -Sicherheit durchgeführt werden.
Wir können dies erreichen, indem wir diese Funktion in der Portsicherheit aktivieren, indem wir den Befehl switchport port-security verwenden.
Geben Sie die maximale Anzahl von Adressen an, die auf der Schnittstelle mit dem Befehl „SwitchPort Port-Security Maximum“ wie folgt zulässig sind:
Schaltanschluss maximal 5 Schalter
Durch Definieren der MAC -Adressen aller bekannten Geräte:
Schaltanschluss-Security Maximal 2
Indem Sie angeben, was getan werden sollte, wenn einer der oben genannten Begriffe verletzt wird. Wenn ein Verstoß gegen die Sicherheit von Switch -Port auftritt, kann Cisco -Switches so konfiguriert werden, dass sie auf eine von drei Arten reagieren. Schützen, einschränken, herunterfahren.
Der Schutzmodus ist der Sicherheitsverletzungsmodus mit der geringsten Sicherheit. Pakete mit nicht identifizierten Quelladressen werden fallen gelassen, wenn die Anzahl der gesicherten MAC. Es kann vermieden werden, wenn die Anzahl der angegebenen maximalen Adressen, die im Port gespeichert werden können, erhöht oder die Anzahl der gesicherten MAC -Adressen gesenkt wird. In diesem Fall können keine Beweise für eine Datenverletzung festgestellt werden.
Im eingeschränkten Modus wird jedoch über eine Datenverletzung gemeldet. Der Breach -Zähler wird inkrementiert.
Der Befehl zum Shutdown-Modus kann verwendet werden, um einen sicheren Port aus dem fehlerbehinderten Status herauszuholen. Es kann durch den unten genannten Befehl aktiviert werden:
Verstöße gegen den Anschluss zur Verstöße gegen die Anpassung
Für denselben Zweck können keine Befehle mit dem Setup -Modus für den Setup -Modus für die Stillstörung verwendet werden. Diese Modi können durch die Verwendung der unten angegebenen Befehle aktiviert werden:
Verstöße gegen die Anschlussversicherung schützen
Verstöße gegen die Anschlüsseversicherung einschränken
Diese Angriffe können auch durch Authentifizierung der MAC -Adressen mit dem AAA -Server als Authentifizierung, Autorisierung und Buchhaltungsserver verhindert werden. Und durch Deaktivieren der Ports, die nicht oft verwendet werden.
Abschluss
Die Auswirkungen eines MAC -Überflutungsangriffs können sich unterscheiden, wenn man bedenkt, wie es umgesetzt wird. Dies kann zu einem Leck persönlicher und sensibler Informationen des Benutzers führen, die für böswillige Zwecke verwendet werden können. Daher ist seine Prävention erforderlich. Ein MAC -Überschwemmungsangriff kann durch viele Methoden verhindert werden, einschließlich der Authentifizierung entdeckter MAC -Adressen gegen „AAA“ -Server usw.