Gli switch di oggi sono vulnerabili all'attacco CAM Table?
link
Gli switch di oggi sono vulnerabili all'attacco CAM Table?
link
L'inondazione della tabella CAM per forzare lo switch a ricorrere al comportamento dell'hub (trasmissione di tutti i pacchetti a tutte le porte) è un "attacco" solo se si considera il normale comportamento degli switch (invio del pacchetto solo sul collegamento "giusto") essere una caratteristica di sicurezza - che non lo è. Gli switch sono una ottimizzazione , non una protezione . Sfortunatamente, l'idea che "gli switch proteggono dallo snooping" è diffusa (ma sbagliata).
Oltre all'allagamento, altri tipi di "attacchi" includono l'invio di pacchetti con un indirizzo MAC con frame, in modo tale che i pacchetti destinati a un determinato host siano errati. Tali "attacchi" funzioneranno su tutti gli switch, perché eseguono semplicemente il lavoro che lo switch è destinato a eseguire ( alcuni switch possono essere configurati per mantenere un elenco statico di traduzioni da MAC a In questo caso, almeno si alza un flag di avviso, ma questo è un problema ortogonale: alcuni switch incorporano tutti i tipi di firewall e filtri e possono avere un indirizzo IP e possono generalmente essere pensati come un'unione tra uno switch e un host).
Alcuni potrebbero ancora essere soggetti a uno stato di errore di "trasmissione su tutte le porte" quando la tabella CAM è piena, ma in alcuni casi la progettazione è l'alternativa più comune è quella di interrompere il passaggio dei pacchetti - in modo efficace l'attacco cambia da una violazione del controllo del traffico a un rifiuto di servizio.
Come parte di una difesa a più livelli può essere mitigato abbastanza con successo.
Cisco ha un ottimo white paper che descrive i dettagli di attacco CAM & tecniche di mitigazione:
link
"The intent of the MAC Address Overflow attack is for the attacker to be able to overrun the Cisco Catalyst 6509E switches Content-Addressable Memory (CAM) table. This will force packets for all new flows to be flooded out all ports, allowing the attacker to monitor (sniff) incoming packets."
La maggior parte degli switch gestiti può operare in modalità non promiscua e con un MAC specifico associato a una porta specifica sullo switch. Una volta configurato in questo modo, il CAM non sarà in grado di attaccare e quindi l'interruttore non si degraderà mai su un hub.