حمله Mac Flooding
MAC Flooding یک روش حمله است که برای به خطر انداختن امنیت سوئیچهای شبکه طراحی شده است. معمولاً سوئیچها، جدولی به نام MAC Table را در خود نگه میدارند. این جدول، شامل آدرسهای MAC جداگانه رایانههای میزبان در شبکه است، که به پورتهای سوئیچ متصل هستند. سوئیچها از طریق آدرسهای موجود در این جدول، دادهها را از پورتهایی که گیرنده در آن قرار دارد، به سمت دستگاههای متصل هدایت میکنند. چنانچه میدانید، هابها، دادهها را به کل شبکه پخش میکنند. به این ترتیب، دادهها به تمامی میزبانهای شبکه منتقل میشوند. اما سوئیچها، دادهها را تنها به دستگاه یا دستگاههای خاصی که برای ارسال داده در نظر گرفته شدهاند، میفرستند. این هدف، با استفاده از جداول MAC محقق میشود. هدف از حمله MAC Flooding، حذف جدول MAC است.
در یک حمله MAC Flooding، مهاجم، تعداد زیادی اترنت فریم را ارسال میکند. زمانی که تعداد زیادی از فریمهای اترنت به سوئیچ ارسال میشوند، از آنجا که این فریمها به آدرس گیرندههای مختلفی ارسال خواهند شد، بنابراین جدول MAC سوئیچ را پر خواهند کرد. در واقع، قصد مهاجم، مصرف حافظه سوئیچ است که برای ذخیره جدول آدرس MAC استفاده میشود. بنابراین، با این رخداد، آدرس MAC کاربران قانونی از جدول MAC خارج شده و سوئیچ، دیگر نمیتواند دادههای دریافتی را به سیستم مقصد برساند. از این رو، تعداد قابل توجهی از فریمهای ورودی، در همه پورتها، رویدادی شبیه سیلاب را رقم میزنند.
Mac Flooding چگونه کار میکند؟
در یک شبکه، هر دستگاه به عنوان مثال، کامپیوتر، سرور، چاپگر و … به یک سوئیچ، متصل است. این سوئیچ، وظیفه ردیابی اینکه کدام دستگاه به هر پورت متصل است را با نگهداری جدولی به نام “جدول آدرس MAC” بر عهده دارد. این جدول، آدرس مک هر دستگاه را به پورت سوئیچ مربوطه نگاشت میکند. آدرس MAC، یک آدرس منحصر به فرد متفاوت است که توسط سازنده هر دستگاه، برایش در نظر گرفته میشود.
هنگامی که یک دستگاه در شبکه میخواهد با دستگاه دیگری ارتباط برقرار کند، یک فریم اترنت را ارسال میکند. هر فریم، آدرس MAC مبدا و آدرس MAC مقصد را در خود دارد. سوئیچ شبکه، این فریم را دریافت میکند و از آدرس MAC مقصد، برای مشخص کردن پورت صحیح در جدول آدرس MAC استفاده میکند. سپس فریم را از آن پورت به دستگاه مقصد میفرستد و دو دستگاه از این طریق با هم ارتباط برقرار میکنند.
MAC flooding درواقع، یک حمله سایبری است که سوئیچهای یک شبکه محلی (LAN) را مورد هدف قرار میدهد. این حمله، شامل ارسال بستههای بسیار با آدرسهای MAC جعلی برای سرریز کردن جدول آدرس سوئیچ است. این امر، باعث پر شدن جدول مک آدرس سوئیچ و ناتوانی آن در پردازش ترافیک واقعی میشود. هنگامی که جدول پر شد، سوئیچ ناگزیر، تمام بستهها را به همه پورتها سرازیر میکند. در حقیقت این حمله، سوئیچ را به یک هاب تبدیل میکند و به طور بالقوه سبب بروز وضعیت انکار سرویس یا DoS میشود.
مهاجمی که میتواند فریمهایی را به هر دستگاهی در شبکه بفرستد، میتواند چندین اقدام مخرب انجام دهد. او میتواند ترافیک شبکه را رهگیری کند یا حتی آن را تغییر دهد و از این دسترسی استفاده کند تا سعی کند به دستگاههایی دسترسی پیدا کند که در غیر این صورت راهی به آنها نداشت.
