Сегодня я прочитал статью о том, как тестер проникновения смог продемонстрировать создание фальшивого банковского счета с балансом в 14 миллионов долларов. Тем не менее, один абзац, описывающий нападение, выделялся:
Затем он «залил» коммутаторы - небольшие блоки, которые направляют трафик данных - чтобы завалить внутреннюю сеть банка данными. Такая атака превращает коммутатор в «концентратор», который передает данные без разбора.
Я не знаком с эффектом, который описан. Действительно ли возможно принудительно переключить широковещательный трафик на все его порты, посылая огромные объемы трафика? Что именно происходит в этой ситуации?
Ответы:
Это называется MAC-флудингом . «MAC-адрес» - это аппаратный адрес Ethernet. Коммутатор поддерживает таблицу CAM, которая отображает MAC-адреса на порты.
Если коммутатор должен отправить пакет на MAC-адрес, который не входит в его таблицу CAM, он перенаправляет его на все порты, как это делает концентратор. Таким образом, если вы заполняете коммутатор большим количеством MAC-адресов, вы принудительно вводите записи допустимых MAC-адресов из таблицы CAM, и их трафик будет перетекать на все порты.
источник
Это называется MAC-флудингом и использует тот факт, что таблицы коммутаторов CAM имеют ограниченную длину. Если они переполнены, коммутатор превращается в концентратор и отправляет каждый пакет на каждый порт, что быстро может привести к остановке сети.
Отредактировано, чтобы исправить неверную терминологию.
источник
Как было объяснено выше, таблица MAC коммутатора «отравлена» поддельными mac-адресами. Это легко сделать с помощью
macofпрограммы изdsniffнабора инструментов. Предупреждение: попробуйте это только в образовательных целях в вашей собственной сети, в противном случае у вас будут серьезные юридические проблемы!http://www.monkey.org/~dugsong/dsniff/
источник