Mac overflow (flooding)

5

In un recente passaggio, l'inondazione di Mac è ancora una vulnerabilità a cui prestare attenzione? Se l'attacco viene applicato su molti di essi, allora su quale tipo di switch è ancora vulnerabile?

    
posta Bob Ebert 10.10.2015 - 22:07
fonte

1 risposta

6

Sì, questa è ancora una minaccia e questo è il motivo:

Il flooding MAC si basa sull'overflow della Tabella CAM (Content Access Memory). La tabella CAM assegna porte fisiche agli indirizzi MAC. La tabella CAM ha una dimensione limitata e se si riesce a superare tale dimensione lo switch non è più in grado di assegnare nuovi indirizzi MAC a una porta fisica. In questa situazione lo switch può fare una delle tre cose:

  1. Vai alla modalità Fail Open , che trasforma lo switch in hub, il che significa che tutti possono vedere tutto. Si potrebbe quindi annusare il traffico di tutti i client connessi.

  2. Passa alla modalità Fail Off , che fa sì che lo switch mantenga gli indirizzi MAC esistenti nel CAM-Table, ma non aggiungerà nuovi, il che porterà a escludere nuovi client dal rete.

  3. Lo switch utilizza la tabella CAM come una memoria ad anello, il che significa che gli indirizzi che non sono stati visti per il periodo più lungo vengono rilasciati. Questa può essere una soluzione pratica per gli home switch perché è improbabile che colleghi qualche migliaio di host a un router DSL

Ho anche avuto una situazione in cui uno switch si è bloccato in modo completo dopo aver causato un overflow del CAM-Table. Ma questo è stato un interruttore relativamente economico per l'ambiente domestico a essere onesti.

Sebbene questa vulnerabilità sia un tipo di sistema inerente, non può essere riparata come altre vulnerabilità intrinseche del sistema. Puoi prevenirlo usando sicurezza della porta , che ti suggerisco di fare. Se sei l'attaccante di un pentest puoi attaccare questa vulnerabilità utilizzando lo strumento macoff , che genera un sacco di pacchetti ethernet con indirizzi MAC generati casualmente per causare un overflow nella tabella CAM.

L'ho testato con successo su alcuni switch Cisco, uno switch Netgear e alcuni normali switch desktop.

    
risposta data 10.10.2015 - 23:23
fonte

Leggi altre domande sui tag