Ataque de inundaciones de Mac

Ataque de inundaciones de Mac

Una capa de enlace de datos actúa como un medio para la comunicación entre dos hosts directamente conectados. En el frente de envío, transforma el flujo de datos en señales bit por bit y lo transfiere al hardware. Por el contrario, como receptor, recibe datos en forma de señales eléctricas y los transforma en un marco identificable.

Mac puede clasificarse como una subcambie de la capa de enlace de datos que es responsable de la direccionamiento físico. La dirección MAC es una dirección única para un adaptador de red asignado por los fabricantes para transmitir datos al host de destino. Si un dispositivo tiene varios adaptadores de red I.mi., Ethernet, Wi-Fi, Bluetooth, etc., Habría diferentes direcciones MAC para cada estándar.

En este artículo, aprenderá cómo se manipula esta subconeza para ejecutar el ataque de inundación de Mac y cómo podemos evitar que ocurra el ataque.

Introducción

Mac (Media Access Control) Las inundaciones es un ataque cibernético en el que un atacante inunda la red cambia con direcciones MAC falsas para comprometer su seguridad. Un Switch no transmite paquetes de red a toda la red y mantiene la integridad de la red al segregar datos y haciendo uso de VLAN (red de área local virtual).

El motivo detrás del ataque de inundación MAC es robar datos del sistema de una víctima que se está transfiriendo a una red. Se puede lograr forzando el contenido de la tabla Mac del interruptor y el comportamiento de unidifusión del interruptor. Esto da como resultado la transferencia de datos confidenciales a otras partes de la red y eventualmente convertir el interruptor en un centro y causar cantidades significativas de marcos entrantes se inundan en todos los puertos. Por lo tanto, también se llama ataque de desbordamiento de la tabla de direcciones MAC.

El atacante también puede usar un ataque de falsificación ARP como un ataque de sombra para permitirse continuar teniendo acceso a datos privados después, los interruptores de la red se recuperan del ataque temprano de inundación de Mac.

Ataque

Para saturar rápidamente la tabla, el atacante inunda el interruptor con una gran cantidad de solicitudes, cada una con una dirección MAC falsa. Cuando la tabla Mac alcanza el límite de almacenamiento asignado, comienza a eliminar las direcciones antiguas con las nuevas.

Después de eliminar todas las direcciones MAC legítimas, el conmutador comienza a transmitir todos los paquetes a cada puerto de conmutación y asume el papel de Network Hub. Ahora, cuando dos usuarios válidos intentan comunicarse, sus datos se envían a todos los puertos disponibles, lo que resulta en un ataque de inundación de la tabla Mac.

Todos los usuarios legítimos ahora podrán hacer una entrada hasta que esto se complete. En estas situaciones, las entidades maliciosas los hacen parte de una red y envían paquetes de datos maliciosos a la computadora del usuario.

Como resultado, el atacante podrá capturar todo el tráfico de entrada y saliente que pasa por el sistema del usuario y puede oler los datos confidenciales que contiene. La siguiente instantánea de la herramienta de olfateo, Wireshark, muestra cómo la tabla de direcciones MAC está inundada con direcciones MAC falsas.

Prevención de ataques

Siempre debemos tomar precauciones para asegurar nuestros sistemas. Afortunadamente, tenemos herramientas y funciones para evitar que los intrusos ingresen al sistema y respondan a los ataques que ponen en riesgo nuestro sistema. Detener el ataque de inundación de Mac se puede hacer con seguridad portuaria.

Podemos lograrlo habilitando esta función en la seguridad del puerto utilizando el comando Switchport Port-Seecurity.

Especifique el número máximo de direcciones que se permiten en la interfaz utilizando el comando de valor "Switchport Port-Security Máximo" como se muestra a continuación:

Switch Puerto Seguridad máxima 5

Al definir las direcciones MAC de todos los dispositivos conocidos:

Cambio de seguridad del puerto máximo 2

Indicando lo que se debe hacer si se violan alguno de los términos anteriores. Cuando se produce una violación de la seguridad del puerto de conmutación, los interruptores de Cisco pueden configurarse para responder de una de las tres maneras; Proteger, restringir, apagar.

El modo de protección es el modo de infracción de seguridad con la menor seguridad. Los paquetes que tienen direcciones fuente no identificadas se eliminan si el número de direcciones MAC seguras excede el límite del puerto. Se puede evitar si se incrementa el número de direcciones máximas especificadas que se pueden guardar en el puerto o se reduce el número de direcciones MAC seguras. En este caso, no se puede encontrar evidencia de una violación de datos.

Pero en el modo restringido, se informa una violación de datos, cuando se produce una violación de seguridad del puerto en el modo de violación de seguridad predeterminado, la interfaz está discapacitada en errores y el LED del puerto se mata. El mostrador de violación se incrementa.

El comando del modo de cierre se puede usar para obtener un puerto seguro fuera del estado de discapacidad de error. Se puede habilitar mediante el comando mencionado a continuación:

Cambiar la violación de la seguridad del puerto

Así como no se pueden usar comandos de modo de configuración de la interfaz de apagado para el mismo propósito. Estos modos se pueden habilitar mediante el uso de los comandos que se dan a continuación:

Switch Port-Seecurity Violation Protect
Cambiar la violación de la seguridad del puerto

Estos ataques también se pueden prevenir autenticando las direcciones MAC contra el servidor AAA conocido como autenticación, autorización y servidor de contabilidad. Y deshabilitando los puertos que no se usan con bastante frecuencia.

Conclusión

Los efectos de un ataque de inundación de Mac pueden diferir considerando cómo se implementa. Puede dar lugar a la fuga de información personal y confidencial del usuario que podría usarse para fines maliciosos, por lo que su prevención es necesaria. Muchos métodos pueden prevenir un ataque de inundación MAC, incluida la autenticación de las direcciones MAC descubiertas contra el servidor "AAA", etc.