Eu li um artigo hoje descrevendo como um testador de penetração foi capaz de demonstrar a criação de uma conta bancária falsa com um saldo de US $ 14 milhões. No entanto, um parágrafo descrevendo o ataque se destacou:
Depois, ele "inundou" os switches - pequenas caixas que direcionam o tráfego de dados - para sobrecarregar a rede interna do banco com dados. Esse tipo de ataque transforma o switch em um "hub" que transmite dados indiscriminadamente.
Não estou familiarizado com o efeito descrito. É realmente possível forçar um switch a transmitir tráfego para todas as suas portas enviando grandes quantidades de tráfego? O que exatamente está acontecendo nessa situação?
Respostas:
Isso é chamado de inundação de MAC . Um "endereço MAC" é um endereço de hardware Ethernet. Um switch mantém uma tabela CAM que mapeia endereços MAC para portas.
Se um switch precisar enviar um pacote para um endereço MAC que não esteja em sua tabela CAM, ele o inundará em todas as portas, exatamente como um hub. Portanto, se você inundar um switch com um número maior de endereços MAC, forçará as entradas de endereços MAC legítimos para fora da tabela CAM e seu tráfego será inundado em todas as portas.
fonte
Isso é chamado de inundação de MAC e faz uso do fato de que as tabelas de comutadores CAM são de comprimento limitado. Se eles transbordarem, um switch se transforma em um hub e envia todos os pacotes a todas as portas, o que rapidamente pode interromper a interrupção da rede.
Editado para corrigir a terminologia incorreta.
fonte
Como foi explicado acima, a tabela MAC do switch está "envenenada" com endereços MAC falsos. Isso é fácil de fazer com o
macof
programa dodsniff
conjunto de ferramentas. Aviso: tente isso apenas para fins educacionais em sua própria rede, caso contrário você terá problemas legais profundos!http://www.monkey.org/~dugsong/dsniff/
fonte