Apa jenis serangan jaringan yang mengubah switch menjadi hub?

35

Saya membaca sebuah artikel hari ini yang menggambarkan bagaimana seorang penguji penetrasi mampu menunjukkan pembuatan rekening bank palsu dengan saldo $ 14 juta. Namun, satu paragraf yang menggambarkan serangan itu menonjol:

Kemudian dia "membanjiri" switch - kotak kecil yang mengarahkan lalu lintas data - untuk membanjiri jaringan internal bank dengan data. Serangan semacam itu mengubah saklar menjadi "hub" yang menyiarkan data tanpa pandang bulu.

Saya tidak terbiasa dengan efek yang dijelaskan. Apakah benar-benar mungkin untuk memaksa saklar untuk menyiarkan lalu lintas ke semua port-nya dengan mengirimkan sejumlah besar lalu lintas? Apa sebenarnya yang terjadi dalam situasi ini?

Lucas
sumber
Beberapa perincian lain di pos / jawaban ini: serverfault.com/questions/345670/… .
jfg956

Jawaban:

62

Ini disebut MAC flooding . "Alamat MAC" adalah alamat perangkat keras Ethernet. Switch mempertahankan tabel CAM yang memetakan alamat MAC ke port.

Jika sebuah switch harus mengirim paket ke alamat MAC yang tidak ada dalam tabel CAM-nya, itu akan membanjiri paket itu ke semua port seperti halnya hub. Jadi jika Anda membanjiri switch dengan jumlah alamat MAC yang lebih besar, Anda akan memaksa entri alamat MAC yang sah keluar dari tabel CAM dan lalu lintas mereka akan dibanjiri ke semua port.

David Schwartz
sumber
2
Apakah saklar melakukan sesuatu untuk mencegah atau membatasi ini?
TheLQ
17
Biasanya tidak, tapi itu bukan tugasnya. Tugas switch adalah untuk memfasilitasi komunikasi antara node dalam LAN, bukan menerapkan kebijakan keamanan atau memfilter informasi. Switch melakukan ini secara tidak sengaja sebagai konsekuensi dari membuat segalanya lebih cepat dan orang, dengan bodohnya, menganggap ini sebagai keamanan. (Hal yang sama terjadi dengan NAT.) Keamanan yang disediakan "secara tidak sengaja" sebagai konsekuensi dari melakukan sesuatu yang lain tidak boleh dianggap keamanan nyata. Ada sakelar yang aman dan terkelola yang menyediakan keamanan, sama seperti ada implementasi NAT yang juga menyertakan firewall yang sebenarnya.
David Schwartz
8

Ini disebut MAC flooding dan memanfaatkan fakta bahwa tabel CAM switch memiliki panjang yang terbatas. Jika overflow, switch berubah menjadi hub dan mengirimkan setiap paket ke setiap port, yang dengan cepat dapat menggiling jaringan hingga berhenti.

Diedit untuk memperbaiki terminologi yang salah.

Sven
sumber
1
SvW mungkin berarti tabel alamat MAC, yang memetakan alamat MAC ke port fisik. Sebagian besar sakelar mengalokasikan sejumlah terbatas memori untuk ini, dan dapat dengan mudah habis oleh penyerang yang mengirim bingkai dari alamat MAC yang dipalsukan secara acak. Ini akan menyebabkan pergantian frame ke semua port untuk alamat MAC tujuan apa pun yang belum ada dalam tabel. Untungnya, ini dapat dikurangi dengan membatasi jumlah MAC yang mungkin muncul pada port yang diberikan.
James Sneeringer
Konsep yang benar, terminologi yang salah ... Cukup untuk memberi +1 dari saya.
Chris S
@ Chris: Itu sudah ada dalam pertanyaan. Semua jawaban yang ditambahkan salah.
David Schwartz
1
@ Davidvidchwartz: Yah, saya mengedit dua kata di mana saya jelas mencampuradukkan terminologi dan sekarang jawabannya sepenuhnya benar. Sejujurnya, itu akan menjadi peluang besar untuk menggunakan fungsi edit situs sendiri. Alih-alih, orang (belum tentu Anda) menggunakannya untuk mengganti "teh" dengan "the" di pos berusia 2 tahun ...
Sven
@ SVW: Saya tidak berpikir itu jelas bahwa Anda hanya menggunakan terminologi yang salah, bahwa switch ada hubungannya dengan ARP sebenarnya adalah kesalahpahaman fungsional yang sangat umum. Saya tidak menganggap pantas untuk menggunakan "edit" untuk sepenuhnya mengubah jawaban orang lain, bahkan dari salah ke benar. (Mungkin itu adalah kebijakan yang buruk di pihak saya. Saya akan mencari di sekitar pada meta dan melihat apakah saya keluar dari arus utama dalam pandangan itu.)
David Schwartz
0

Seperti yang telah dijelaskan di atas, tabel MAC switch 'diracuni' dengan alamat mac palsu. Ini mudah dilakukan dengan macofprogram dari dsniffserangkaian alat. Peringatan: hanya coba ini untuk tujuan pendidikan di jaringan Anda sendiri, kalau tidak Anda akan mendapat masalah hukum yang mendalam!

http://www.monkey.org/~dugsong/dsniff/

Floyd
sumber