В компьютерных сетях атака управления доступом к среде передачи или лавинная рассылка MAC-адресов - это метод, используемый для нарушения безопасности сетевых коммутаторов . Атака работает путем вытеснения допустимого содержимого таблицы MAC- адресов из коммутатора и принудительного одноадресного лавинного поведения, потенциально отправляющего конфиденциальную информацию в те части сети, куда она обычно не предназначена.
Метод атаки
Коммутаторы поддерживают таблицу MAC-адресов, которая сопоставляет отдельные MAC-адреса в сети с физическими портами коммутатора. Это позволяет коммутатору направлять данные из физического порта, на котором находится получатель, в отличие от беспорядочной широковещательной передачи данных из всех портов, как это делает концентратор Ethernet . Преимущество этого метода заключается в том, что данные передаются исключительно в сегмент сети, содержащий компьютер, для которого данные предназначены.
При типичной атаке MAC-лавинной рассылки злоумышленник отправляет на коммутатор множество кадров Ethernet , каждый из которых содержит разные исходные MAC-адреса. Намерение состоит в том, чтобы использовать ограниченную память, выделенную в коммутаторе, для хранения таблицы MAC-адресов. [1]
Эффект от этой атаки может различаться в зависимости от реализации, однако желаемый эффект (со стороны злоумышленника) состоит в том, чтобы вытеснить допустимые MAC-адреса из таблицы MAC-адресов, в результате чего значительное количество входящих кадров будет рассылаться по всем портам. Именно из-за этого поведения лавинной рассылки и получила свое название атака лавинной рассылки MAC.
После запуска успешной атаки MAC-лавинной рассылки злоумышленник может использовать анализатор пакетов для захвата конфиденциальных данных, передаваемых между другими компьютерами, которые были бы недоступны, если бы коммутатор работал нормально. Злоумышленник также может выполнить атаку с подменой ARP, которая позволит ему сохранить доступ к привилегированным данным после того, как коммутаторы восстановятся после первоначальной атаки MAC-лавинной рассылки.
MAC-лавинная рассылка также может использоваться как элементарная атака с перескоком VLAN . [2]
Контрмеры
Чтобы предотвратить атаки MAC-лавинной рассылки, сетевые операторы обычно полагаются на наличие одной или нескольких функций в своем сетевом оборудовании:
- С помощью функции, которую поставщики часто называют «безопасностью портов», многие современные коммутаторы могут быть настроены для ограничения количества MAC-адресов, которые могут быть изучены на портах, подключенных к конечным станциям. [3] В дополнение к традиционной таблице MAC-адресов (и как ее подмножество) поддерживается меньшая таблица безопасных MAC-адресов.
- Многие поставщики позволяют аутентифицировать обнаруженные MAC-адреса на сервере аутентификации, авторизации и учета (AAA) с последующей фильтрацией. [4]
- Реализации пакетов IEEE 802.1X часто позволяют явно устанавливать правила фильтрации пакетов сервером AAA на основе динамически полученной информации о клиентах, включая MAC-адрес.
- Функции безопасности для предотвращения спуфинга ARP или IP-адреса в некоторых случаях могут также выполнять дополнительную фильтрацию MAC-адресов для одноадресных пакетов, однако это побочный эффект, зависящий от реализации.
- Для предотвращения обычного одноадресного лавинного рассылки неизвестных MAC-адресов иногда применяются дополнительные меры безопасности . [5] Эта функция обычно полагается на функцию «безопасности порта» для сохранения всех безопасных MAC-адресов по крайней мере до тех пор, пока они остаются в таблице ARP устройств уровня 3. Следовательно, время устаревания изученных безопасных MAC-адресов регулируется отдельно. Эта функция предотвращает лавинную рассылку пакетов при нормальных рабочих условиях, а также смягчает последствия атаки MAC-лавинной рассылки.
Рекомендации
- ^ «Технический документ по безопасности VLAN: Коммутаторы Cisco Catalyst серии 6500» . Cisco Systems . 2002. Архивировано из оригинала 8 июня 2011 года . Проверено 31 января 2015 года .
- ^ Стив А. Руиллер, Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия , Институт SANS , получено 17 ноября 2017 г.
- ^ Руководство пользователя интеллектуального гигабитного Ethernet-коммутатора бизнес-серии , Linksys, 2007 г., стр. 22
- ^ "руководство / Mac Auth" . Freeradius.org . 2015 . Проверено 31 января 2015 года .
- ^ «Блокирование неизвестного одноадресного флуда» . PacketLife.net . 4 июня 2010 . Проверено 31 января 2015 года .