I detta avsnitt fortsätter vi att utforska switchar, och mer specifikt deras sårbarheter kopplade till MAC-adresstabeller. För att kunna vidarebefordra data effektivt, skapar en Lager 2 switch en MAC-adresstabell som bygger på de source-MAC-adresser som identifieras i de ramar som tas emot. Denna tabell, som illustreras i figuren, sparas i switchens minne och är avgörande för snabb och korrekt vidarebefordran av nätverkstrafik.

Alla MAC-adresstabeller har en fast storlek, vilket innebär att en switch kan få slut på resurser för att lagra MAC-adresser. Attackerna som överöser MAC-adresstabellen utnyttjar denna begränsning genom att bombardera switchen med falska MAC-adresser tills switchens MAC-adresstabell är full.

När detta inträffar, börjar switchen behandla ramen som en okänd unicast och börjar sända (broadcast) all inkommande trafik till alla portar i samma VLAN utan att referera till MAC-tabellen. Detta tillstånd möjliggör för en hotaktör att fånga upp alla ramar som skickas från en slutenhet till en annan inom det lokala LAN eller VLAN.

Observera: Trafiken översvämmas endast inom det lokala LAN eller VLAN. Hotaktören kan endast fånga trafik inom det lokala LAN eller VLAN som hotaktören är ansluten till.

Figuren visar hur en hotaktör enkelt kan använda nätverksattackverktyget macof för att överbelasta en MAC-adresstabell.

1. Hotaktören är ansluten till VLAN 10 och använder verktyget macof för att snabbt generera många slumpmässiga source-MAC och IP-adresser.
2. På kort tid fylls switchens MAC-adresstabell.
3. När MAC-adresstabellen är full börjar switchen att sända (broadcast) alla ramar den tar emot. Så länge macof fortsätter att köra, förblir MAC-adresstabellen full och switchen fortsätter att översvämma alla inkommande ramar till varje port som är associerad med VLAN 10.
4. Hotaktören använder sedan paketsniffarprogramvara för att fånga ramar från alla enheter som är anslutna till VLAN 10.

Om hotaktören stoppar macof eller upptäcks och stoppas, kommer switchen så småningom att åldra ut de äldre MAC-adresserna från tabellen och börjar fungera som en switch igen.

Motverka Attack mot MAC-adresstabellen

Det som gör verktyg som macof så farliga är att en hotaktör mycket snabbt kan skapa en överflödesattack mot MAC-adresstabellen. Till exempel kan en Catalyst 6500-switch lagra 132 000 MAC-adresser i sin MAC-adresstabell. Ett verktyg som macof kan översvämma en switch med upp till 8 000 falska ramar per sekund, vilket skapar en överflödesattack på MAC-adresstabellen på bara några sekunder. Exemplet visar en provutskrift av macof-kommandot på en Linux-dator.

En annan anledning till att dessa attackverktyg är farliga är att de inte bara påverkar den lokala switchen utan även andra anslutna Lager 2-switchar. När MAC-adresstabellen i en switch är full börjar den översvämma alla portar inklusive de som är anslutna till andra Lager 2-switchar.

För att motverka attacker som orsakar överflöde i MAC-adresstabellen måste nätverksadministratörer implementera Port Security. Portskydd tillåter endast ett specificerat antal source-MAC-adresser att läras in på porten. Portskydd diskuteras ytterligare i ett annat avsnitt.