Attaque des inondations de mac

Attaque des inondations de mac

Une couche de liaison de données agit comme un moyen de communication entre deux hôtes directement connectés. Au front d'envoi, il transforme le flux de données en signaux un peu à petit et le transfère au matériel. Au contraire, en tant que récepteur, il reçoit des données sous la forme des signaux électriques et les transforme en un cadre identifiable.

MAC peut être classé comme sous-couche de la couche de liaison de données qui est responsable de l'adresse physique. L'adresse MAC est une adresse unique pour un adaptateur réseau alloué par les fabricants pour transmettre des données à l'hôte de destination. Si un appareil a plusieurs adaptateurs réseau, je.e., Ethernet, Wi-Fi, Bluetooth, etc., Il y aurait différentes adresses MAC pour chaque norme.

Dans cet article, vous apprendrez comment cette sous-couche est manipulée pour exécuter l'attaque d'inondation du Mac et comment nous pouvons empêcher l'attaque de se produire.

Introduction

Les inondations Mac (Media Access Control) sont une cyber-attaque dans laquelle un attaquant inonde le réseau commutant avec de fausses adresses MAC pour compromettre sa sécurité. Un commutateur ne diffuse pas les paquets de réseau vers l'ensemble du réseau et maintient l'intégrité du réseau en séparant les données et en utilisant VLAN (réseau local virtuel).

Le motif derrière l'attaque des inondations de mac est de voler des données à un système de victime qui est transféré dans un réseau. Il peut être réalisé en forçant le contenu de la table MAC légitime du commutateur et le comportement de l'Unicast du commutateur. Il en résulte le transfert de données sensibles à d'autres parties du réseau et éventuellement transformer l'interrupteur en un concentrateur et provoquer l'inondé de quantités importantes de trames entrantes sur tous les ports. Par conséquent, il est également appelé l'attaque débordante de la table d'adresse MAC.

L'attaquant peut également utiliser une attaque d'usurpation ARP comme attaque fantôme pour se permettre de continuer à avoir accès aux données privées par la suite, les commutateurs du réseau se récupèrent de l'attaque inondable du Mac.

Attaque

Pour saturer rapidement la table, l'attaquant inonde l'interrupteur avec un grand nombre de demandes, chacune avec une fausse adresse MAC. Lorsque le tableau Mac atteint la limite de stockage allouée, il commence à supprimer les anciennes adresses avec les nouvelles.

Après avoir supprimé toutes les adresses MAC légitimes, le commutateur commence à diffuser tous les paquets à chaque port de commutateur et assume le rôle de Network Hub. Maintenant, lorsque deux utilisateurs valides tentent de communiquer, leurs données sont transmises à tous les ports disponibles, ce qui entraîne une attaque d'inondation de la table Mac.

Tous les utilisateurs légitimes pourront désormais faire une entrée jusqu'à ce que cela soit terminé. Dans ces situations, les entités malveillantes en font partie d'un réseau et envoient des paquets de données malveillants à l'ordinateur de l'utilisateur.

En conséquence, l'attaquant sera en mesure de capturer toutes les ingrans et le trafic sortant passant par le système de l'utilisateur et peut renifler les données confidentielles qu'elle contient. L'instantané suivant de l'outil de reniflement, Wireshark, affiche comment la table d'adresse MAC est inondée de faux adresse MAC.

Prévention des attaques

Nous devons toujours prendre des précautions pour sécuriser nos systèmes. Heureusement, nous avons des outils et des fonctions pour empêcher les intrus d'entrer dans le système et de répondre aux attaques qui mettent notre système en danger. L'arrêt de l'attaque d'inondation de Mac peut être effectué avec la sécurité des ports.

Nous pouvons y parvenir en permettant cette fonctionnalité dans la sécurité des ports en utilisant la commande Switchport Port-Security.

Spécifiez le nombre maximum d'adresses autorisées sur l'interface à l'aide de la commande «Switchport Port-Security Maximum» comme ci-dessous:

commutateur Port-Security Maximum 5

En définissant les adresses MAC de tous les appareils connus:

commutateur maximum de la sécurité du port 2

En indiquant ce qui devrait être fait si l'un des termes ci-dessus est violé. Lorsqu'une violation de la sécurité du port de commutateur se produit, les commutateurs Cisco peuvent être configurés pour répondre de trois manières; Protéger, restreindre, arrêter.

Le mode Protect est le mode d'infraction de sécurité avec le moindre sécurité. Les paquets qui ont des adresses source non identifiés sont supprimés, si le nombre d'adresses MAC sécurisées dépasse la limite du port. Il peut être évité si le nombre d'adresses maximales spécifiées pouvant être enregistrées dans le port est augmentée ou si le nombre d'adresses MAC sécurisées est abaissé. Dans ce cas, aucune preuve ne peut être trouvée d'une violation de données.

Mais dans le mode restreint, une violation de données est signalée, lorsqu'une violation de la sécurité du port se produit dans le mode de violation de la sécurité par défaut, l'interface est handicapée et la LED de port est tuée. Le compteur de violation est incrémenté.

La commande du mode d'arrêt peut être utilisée pour obtenir un port sécuris. Il peut être activé par la commande mentionnée ci-dessous:

Arrêt de violation de la sécurité des ports

Ainsi qu'aucune commande de mode d'interface d'arrêt ne peut être utilisée dans le même but. Ces modes peuvent être activés par l'utilisation des commandes ci-dessous:

VIOLATION DE LA SÉCURITÉ PORT
Travailler la violation de la sécurité portuaire restreint

Ces attaques peuvent également être évitées en authentifiant les adresses MAC contre le serveur AAA appelé authentification, autorisation et serveur comptable. Et en désactivant les ports qui ne sont pas utilisés assez souvent.

Conclusion

Les effets d'une attaque d'inondation de Mac peuvent différer compte tenu de la façon dont il est mis en œuvre. Cela peut entraîner la fuite d'informations personnelles et sensibles de l'utilisateur qui pourraient être utilisées à des fins malveillantes, donc sa prévention est nécessaire. Une attaque d'inondation MAC peut être empêchée par de nombreuses méthodes, y compris l'authentification des adresses MAC découvertes contre le serveur «AAA», etc.