Indietro

ⓘ MAC flooding




                                     

ⓘ MAC flooding

Nellambito della sicurezza informatica, il MAC flooding designa una tecnica di attacco in una rete locale commutata che consiste nellinviare ad uno switch pacchetti appositamente costruiti per riempire la CAM table dello switch, che normalmente associa un indirizzo MAC alla porta cui il relativo terminale è collegato, con indirizzi MAC fittizi. La CAM table è una struttura dati efficiente, concettualmente simile a una hash table, che permette di associare rapidamente un indirizzo di dimensione fissa alla porta a cui è collegato il terminale.

Questo attacco costringe lo switch, una volta saturata la CAM table, ad entrare in una condizione detta di fail open che lo fa comportare come un hub, inviando così gli stessi dati a tutti gli apparati ad esso collegati, compreso quello di un eventuale aggressore che può dunque sniffare tutto il traffico in transito nella rete. Non tutti gli switch optano però per questa configurazione quando sono sottoposti a questo tipo di attacco. Alcuni infatti entrano in uno stato di blocco, impedendo il passaggio del traffico.

Uninterfaccia di rete in modalità promiscua, cioè impostata in modo da leggere anche il traffico che dovrebbe ignorare perché non diretta a lei, diventa così in grado di intercettare tutte le comunicazioni che attraversano lo switch, avendo accesso al traffico che non dovrebbe nemmeno transitare sul suo segmento di rete. Si tratta dunque di una tipologia di attacco abbastanza semplice.

Causare una condizione di fail open in uno switch è in genere il primo passo da parte di un attaccante per altri fini, tipicamente effettuare sniffing o un man in the middle.

Tool che causano un MAC flooding sono macof della suite dsniff, taranis e Ettercap.

Una contromisura efficace al MAC flooding è lutilizzo della caratteristica di "port security" sugli switch Cisco, "packet filtering" sugli switch 3Com o di servizi equivalenti negli switch di altri produttori.